微软安全专家警告用户,一种名为Dexphot的加密货币挖矿程序正在攻击运行加密货币挖矿程序的计算机。 Windows 自去年10月以来,该恶意软件的活动高峰出现在今年6月,当时全球有超过8万台计算机受到感染。
报告指出,该恶意软件采用多种规避手段入侵受害者的计算机,包括加密、混淆以及使用随机文件名来伪装安装过程。此外,该挖矿程序在启动时不使用任何文件,而是直接在内存中执行恶意代码。因此,它几乎不留下任何痕迹,难以被检测到。为了避免被检测,Dexphot 还会劫持合法进程。 Windows包括 unzip.exe、rundll32.exe、msiexec.exe 等。
如果用户尝试从计算机中删除恶意软件,则会触发监控服务并启动重新感染。 该报告指出,Dexphot 安装在已被感染的计算机上。 作为当前活动的一部分,该恶意软件会到达感染 ICLoader 病毒的系统。 从多个URL下载恶意模块,这些模块也用于更新恶意软件并进行重新感染。
“Dexphot 不是那种引起媒体关注的攻击类型。 这是已经存在很长时间的众多活动之一。 其目的在网络犯罪圈子中广泛存在,归根结底就是安装一个加密货币挖矿程序,秘密使用计算机资源为攻击者谋取利益。”Microsoft Defender ATP 恶意软件分析师 Hazel Kim 表示。
来源: 3dnews.ru
