一個新的偷偷摸摸的惡意軟體 dexphot雲端病毒 已經被發現,它正在悄悄地使用受感染的設備為其攻擊者挖掘加密貨幣。迄今為止,在大多數新聞報導的關注下, dexphot雲端病毒 通過使用大量技術重新感染計算機來使病毒能繼續存在電腦上。

 

微軟發布 dexphot雲端病毒

11月26日,微軟的Defender高級威脅防護(ATP)研究團隊發布了警報,詳細介紹了自2018年10月首次發現以來已經感染了80,000多個設備的新型惡意軟體。研究人員指出,該病毒具有多層加密,模糊處理和隨機文件,可以使Dexphot規避安全解決方案並隱藏其安裝過程。

該惡意軟體在今年6月中旬達到最高峰,這種殭屍網絡感染了將近80,000台受感染的計算機。微軟堅持認為,由於其部署了對策以改善檢測和阻止攻擊,該病毒已緩慢的消失中。

但是,儘管Doxphot的目的無害,但由於其優越的複雜性水平,這些方法和技術脫穎而出,Microsoft也注意到。一旦防病毒供應商在Dexphot的感染鏈中檢測到某種模式,該模式就會改變,並使Dexphot保持領先於網絡安全產品的領先地位。

 

 dexphot雲端病毒 與一般病毒目的不同

微軟Defender ATP研究團隊的惡意軟體分析師Hazel Kim說:“ Dexphot不是引起主流媒體關注的攻擊類型。”他指的是惡意軟體挖掘加密貨幣的平凡任務,而不是竊取用戶數據。

“這是在任何特定時間,都是處於活動狀態的無數惡意軟體活動之一。網絡犯罪分子的目的非常普通,就是安裝一個無聲地竊取計算機資源,並為攻擊者創造收入的硬幣礦工。”

 

重覆感染dexphot雲端病毒

微軟表示,Dexphot帶有巧妙的持久性機制,該機制會經常重新感染尚未完全清除掉所有惡意軟體元素的系統。該惡意軟體使用一種稱為“進程挖空”的技術來啟動兩個合法進程(svchost.exe和nslookup.exe),挖空它們的內容,並劫持它們以從內部運行惡意代碼。

一旦被偽裝成合法的Windows程式,這兩個Dexphot組件將監視所有惡意軟體的元素都已啟動並正在運行,如果其中之一停止工作,則重新安裝該惡意軟體。因為有兩個監視過程,所以如果系統管理員或防病毒軟體刪除了一個,則第二個將作為備份並重新感染系統。

Dexphot還使用了一系列計劃任務和無文件技術,以確保在每次重新啟動後或每90或110分鐘一次重新感染受感染的系統。此外,這些任務使用了多態性,Dexphot定期更改任務名稱。此措施使惡意軟體可以繞過按其名稱阻止計劃任務的所有阻止列表。

 

dexphot雲端病毒的特性

Dexphot會定期運行的任務,在作業啟動運作後,病毒會從服務器下載了一個文件,使攻擊者可以使用針對所有受感染主機,去更新指令來更改此文件,並在防病毒供應商部署任何防禦措施後,在數小時內可以再更新其整個殭屍網絡。

為了防禦dexphot雲端病毒,消費者將需要採用新一代保護引擎或防毒軟體,包括基於雲端的機器學習檢測。而解決方案需要識別,並能阻止初始感染,才能在早期階段停止病毒的攻擊。