微软:Dexphot Malware感染的病毒多达80.000个Microsoft的安全研究人员发现,有80,000多台计算机已被名为Dexphot的恶意软件感染。该恶意软件目前正用于加密挖掘。
它自2018年以来一直在运行,6月感染高峰达到80,000。我遇到了有关以下推文的信息。
微软表示新的Dexphot恶意软件感染了80,000多台计算机>通过ICLoader提供>用于加密矿>在6月达到80k感染的峰值>使用了无文件执行,LOLbin,多态和冗余启动持久性机制https://t.co/vzsplOiW3g pic.twitter.com/GKgVqsodYu-Catalin Cimpanu(@campuscodi)2019年11月26日
●首次发现于2018年10月
Microsoft已在此博客文章中发布了详细信息。该恶意软件在2018年10月被注意到,当时Microsoft的多态爆发监控系统记录了大量报告。这表明正在开展大规模的恶意软件活动。
然后,Microsoft的安全团队观看了这种新的恶意软件尝试渗透到数千个设备上每20-30分钟更改一次的文件的情况。然后,该恶意软件被Microsoft命名为“ Dexphot”。
●棘手的感染方法
Dexphot攻击使用各种复杂的方法绕过安全解决方案。有不同级别的代码混淆,加密以及使用随机文件名来隐藏安装过程。
Dexphot使用无文件技术在内存中执行恶意代码,仅留下少量痕迹可用于取证。恶意代码劫持了合法的系统进程,以伪装恶意活动。如果在感染阶段未停止Dexphot,则加密矿工最终将在设备上运行。一旦尝试删除恶意软件,由恶意软件和计划任务设置的监视服务就会触发重新感染。
●Microsoft Defender ATP阻止Dexphot
在大多数情况下,Microsoft Defender高级威胁防护检测模块在执行之前阻止了Dexphot。如果失败,则基于行为的机器学习模型将提供保护。微软认为,鉴于威胁,多态性和使用无文件技术的持久机制,行为检测是针对这种恶意软件和其他表现出类似恶意行为的威胁提供全面保护的重要组成部分。
根据此Microsoft页面,Windows 8.1和Windows 10下的Windows Defender也将该恶意软件检测为Trojan:Win32 / Dexphot。由于具有检测能力,因此感染率现在已大大降低。可以在这篇Microsoft文章中找到详细信息。