darask
New member
Сотрудники компании Microsoft о повышающейся активности вируса-майнера криптовалют Dexphot, который за последнее время смог инфицировать уже свыше 80 тысяч устройств во всём мире. Сотрудники Microsoft уточнили, что главной отличительной особенностью этого майнера является применение сложных механизмов ухода от обнаружения.
Проводя атаки, операторы Dexphot применяют много сложных способов для обмана защиты системы, например обфускацию, шифрование и название случайных имён файлов для скрытой установки. Dexphot работает с бесфайловыми методами для запуска своего кода из оперативной памяти, почти не оставляя следов, по которым его можно найти.
Вирус перехватывает разрешённые процессы системы Windows (к примеру, msiexec.exe, rundll32.exe, powershell.exe и прочие) для ухода от обнаружения. На последнем шаге своей развёртки Dexphot включает майнер криптовалюты на компьютере совместно со службами мониторинга и запланированными задачами, которые могут вновь заразить ПК, если вирус будет удалён.
Также специалисты заметили, что майнер Dexphot является так называемой вторичной полезной нагрузкой — программное обеспечение, устанавливаемое на уже заражённые устройства. В нашем случае вирус Dexphot ставится на ПК, уже заражённые ICLoader или его аналогами. Для установки модулей майнера, установщик применял 2 URL-адреса, эти же адреса были использованы для обеспечения сохранения состояния системы, обновления вируса и повторного заражения.
Майнер Dexphot применяет полиморфизм и шифрование, чтобы уйти от обнаружения. Полиморфные способы подразумевают часто изменяющиеся идентифицируемые параметры, например названия и типы файлов, ключи шифрования и прочие.
Проводя атаки, операторы Dexphot применяют много сложных способов для обмана защиты системы, например обфускацию, шифрование и название случайных имён файлов для скрытой установки. Dexphot работает с бесфайловыми методами для запуска своего кода из оперативной памяти, почти не оставляя следов, по которым его можно найти.
Вирус перехватывает разрешённые процессы системы Windows (к примеру, msiexec.exe, rundll32.exe, powershell.exe и прочие) для ухода от обнаружения. На последнем шаге своей развёртки Dexphot включает майнер криптовалюты на компьютере совместно со службами мониторинга и запланированными задачами, которые могут вновь заразить ПК, если вирус будет удалён.
Также специалисты заметили, что майнер Dexphot является так называемой вторичной полезной нагрузкой — программное обеспечение, устанавливаемое на уже заражённые устройства. В нашем случае вирус Dexphot ставится на ПК, уже заражённые ICLoader или его аналогами. Для установки модулей майнера, установщик применял 2 URL-адреса, эти же адреса были использованы для обеспечения сохранения состояния системы, обновления вируса и повторного заражения.
Майнер Dexphot применяет полиморфизм и шифрование, чтобы уйти от обнаружения. Полиморфные способы подразумевают часто изменяющиеся идентифицируемые параметры, например названия и типы файлов, ключи шифрования и прочие.