Windows 10 защищает ПК от скрытого майнинга

Автор: Владимир

После событий, связанных с вирусными атаками WannaCry и Petya, Microsoft начала масштабную работу над встроенным антивирусом Windows Defender для ОС Windows 10. Последнее время компания массово призывает пользователей обновляться до последней версии операционной системы, что связано с доработкой Защитника Windows, который обеспечивает отличную защиту от вредоносных программ.

Как сообщается на официальном блоге Microsoft, несколько дней назад была предотвращена масштабная вирусная атака, связанная с распространением скрытого майнера. Пользователи, установившие обновления, оказались недоступны для трояна.

Сотрудники компании заметили быстрое распространение троянской программы Dofoil. Основной ее задачей был скрытый майнинг криптовалюты на компьютере жертвы. Первая волна 6 марта насчитывала 80 000 попыток проникновения на ПК пользователей, а вторая – 400 000 попыток. В Windows утверждают, что атаку удалось полностью заблокировать.
Dofoil
В статистике сказано, что 73% обнаруженных вирусов находилось в России, 18% в Турции и 4% в Украине.

Схема работы трояна

Dofoil, после проникновения на устройство, встраивался в системный процесс “explorer.exe”. После этого начинался процесс майнинга криптовалюты Electroneum. Обнаружить вирус обычному пользователю почти невозможно, ведь он отлично замаскирован под стандартный процесс.

В сообщении Microsoft сообщается:

“Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс “explorer.exe” создает копию оригинального вредоносного ПО в папке “Roaming AppData” и переименовывает ее в “ditereah.exe”. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.
Dofoil Explorer
Зараженный “explorer.exe” создает и запускает файл “D1C6.tmp.exe” (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) в папке “Temp”. “D1C6.tmp.exe” создает и запускает копию самого себя под названием “lyk.exe”. После запуска “lyk.exe” подключается к IP-адресам, которые работают как DNS прокси-сервера для сети Namecoin.
Dofoil D1C6
Он затем пытается подключиться к C&C серверу “vinik.bit” внутри инфраструктуры NameCoin. Сервер C&C указывает вирусу подключиться или отключиться к IP-адресу, скачать, исполнить или удалить определенный файл или же оставаться пассивным на протяжении определенного периода времени.”

Совет! Прочитав «Новый вирус способен спалить ваш компьютер», можно узнать на что способен скрытый майнер.

Оставайся в безопасности с Windows 10

Многоуровневый подход Windows Security Defender к безопасности (используются алгоритмы обнаружения поведения, генерики и эвристики, основанной на поведении, а также модели машинного обучения) обеспечивает защиту в реальном времени от новых угроз. Windows 10 позволяет максимально обезопасить компьютер от вредоносного ПО, что становится еще одной причиной для обновления с более старой версии.

Популярное за неделю

Код 495: что за оператор и какой регион

Код 495: что за оператор и какой регион

На территории России действуют разные телефонные коды. И для того, чтобы дозвониться до нужного абонента, важно знать определённую комбинацию цифр. Мы расскажем сегодня про...
14393

Как в ворде сделать таблицу

Как в ворде сделать таблицу для структурирования и организации информации? Они являются одним из самых полезных инструментов, позволяющих отобразить данные в виде сетки с...
3456

Как в ворде сделать нумерацию страниц

Проставление нумерации страниц в Word является неотъемлемой частью работы студента и любого человека, занимающегося текстами. Этот популярный текстовый редактор позволяет создавать сложные документы и...
2833
Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Sorry that something went wrong, repeat again!