微软安全专家警告用户注意来自名为 Dexphot 的加密货币挖矿软件的攻击,该软件自去年 80 月以来一直针对 Windows 计算机。 该恶意软件的活动高峰出现在今年 000 月,当时全球有超过 XNUMX 台计算机受到感染。
该报告指出,为了渗透受害者的计算机,该恶意软件使用各种方法绕过保护,包括加密、混淆以及使用随机文件名来伪装安装过程。 据了解,该矿机在启动过程中不使用任何文件,直接在内存中执行恶意代码。 正因为如此,它几乎没有留下任何痕迹来记录它的存在。 为了避免检测,Dexphot 会拦截合法的 Windows 进程,包括 unzip.exe、rundll32.exe、msiexec.exe 等。
如果用户尝试从计算机中删除恶意软件,则会触发监控服务并启动重新感染。 该报告指出,Dexphot 安装在已被感染的计算机上。 作为当前活动的一部分,该恶意软件会到达感染 ICLoader 病毒的系统。 从多个URL下载恶意模块,这些模块也用于更新恶意软件并进行重新感染。
“Dexphot 不是那种引起媒体关注的攻击类型。 这是已经存在很长时间的众多活动之一。 其目的在网络犯罪圈子中广泛存在,归根结底就是安装一个加密货币挖矿程序,秘密使用计算机资源为攻击者谋取利益。”Microsoft Defender ATP 恶意软件分析师 Hazel Kim 表示。
来源: 3dnews.ru