微软发布博文称WD成功拦截大规模的挖矿病毒传播
微软最新发布的安全博文详细介绍该公司自家的安全软件Windows Defender在数天前阻止的挖矿病毒传播。
正如此前 WD 阻止勒索软件软件那样:WD检测到部分未知软件时及时通过云端机器学习模型自动进行测试。
尽管刚开始由于恶意软件行为和样本的不足有少数用户感染,但经过训练后WD 将其他用户感染的病毒清除。
数天内感染40万台电脑:
名为Dofoil的虚拟货币挖矿病毒属于此前某病毒的变种,受害者感染该病毒后电脑将会自动开始挖掘门罗币。
在数天内该病毒就开始袭击超过 40 万台个人电脑,这些个人电脑约73%俄罗斯境内、18%位于土耳其境内。
能够感染如此多的个人电脑原因在于该病毒复杂的运行过程,这让多数反病毒软件没有正确将其识别和拦截。
Dofoil 首先会使用代码注入感染Windows 资源管理器,然后再通过资源管理器这个合法进程分发恶意进程。
当替换进程代码后病毒虽然正在运行但其归属 Windows 资源管理器,这让绝大多数反病毒软件都对其放行。
得益于机器学习WD数分钟后判定为恶意软件:
微软称在最初WD并未能够成功识别可执行文件是否恶意,因此依照处理流程将其文件样本上传至云端分析。
几秒钟后云端机器学习模型判定该文件为恶意软件并未能够正确分类,此时WD客户端继续拦截文件的执行。
几分钟后基于引爆式分析云端模型判断这确实是恶意文件,这是对此前机器学习模型的判断进行额外的确认。
此后云端机器学习模型将其识别出来为Dofoil恶意软件的变种, 并下发通知让所有WD客户端对其进行拦截。
Dofoil本身并不是挖矿病毒:
Dofoil其实是个已经运作很久很久的木马下载家族,本次攻击事件中Dofoil被充当为下载器再加载挖矿病毒。
Dofoil在感染受害者电脑后开始连接远程控制服务器获取命令,然后加载挖矿病毒并连接到NameCoin网络。
下载挖矿病毒后挖矿病毒继续连接其他远程服务器获取命令,进而按照预设在用户电脑上运行挖掘门罗币等。
微软的安全提示(小广告):
微软称WD基于软件行为的安全分层方法再配合云端机器学习模型能够及时检测到新威胁并保护用户的安全。
虽然旧版的系统同样附带WD反病毒软件,不过建议用户升级到Windows 10 系统体验性能更佳的WD防护。
另外用户亦可考虑使用Windows 10 S操作系统,该系统仅允许运行经过微软审核的UWP程序相对更加安全。