Öryggissérfræðingar Microsoft hafa varað notendur við árásum frá dulritunargjaldmiðilsnámumanni sem heitir Dexphot, sem hefur verið að miða á Windows tölvur síðan í október á síðasta ári. Hámarksvirkni spilliforritsins var skráð í júní á þessu ári, þegar meira en 80 tölvur um allan heim voru sýktar.
Í skýrslunni kemur fram að til að komast inn í tölvur fórnarlambanna notar spilliforritið ýmsar aðferðir til að komast framhjá vernd, þar á meðal dulkóðun, óskýringu og notkun tilviljunarkenndra skráarheita til að dylja uppsetningarferlið. Það er líka vitað að námumaðurinn notar engar skrár meðan á ræsingu stendur og keyrir skaðlegan kóða beint í minni. Vegna þessa skilur það eftir sig mjög fá ummerki til að skrá nærveru sína. Til að forðast uppgötvun hlerar Dexphot lögmæt Windows ferli, þar á meðal unzip.exe, rundll32.exe, msiexec.exe o.s.frv.
Ef notandi reynir að fjarlægja spilliforrit úr tölvu er vöktunarþjónusta ræst og endursýking hafin. Í skýrslunni kemur fram að Dexphot er sett upp á tölvum sem þegar hafa verið sýktar. Sem hluti af núverandi herferð nær spilliforritið til kerfa sem eru sýkt af ICLoader vírusnum. Skaðlegum einingum er hlaðið niður af nokkrum vefslóðum, sem einnig eru notaðar til að uppfæra spilliforritið og framkvæma endursýkingu.
„Dexphot er ekki sú tegund árásar sem vekur athygli fjölmiðla. Þetta er ein af mörgum herferðum sem hafa verið til í langan tíma. Tilgangur þess er útbreiddur í netglæpahópum og snýst um að setja upp dulritunargjaldmiðlanámumann sem notar tölvuauðlindir á laun í þágu árásarmanna,“ sagði Hazel Kim, sérfræðingur í spilliforritum hjá Microsoft Defender ATP Research Group.
Heimild: 3dnews.ru