Windows Defender stoppade enorm attack från krypto-malware

Posted by Av Mikael Anderberg 6 år sedan 4 minuters läsning
windows defender logo 2017

Säkerhetsprogrammet Windows Defender har stoppat en stor attack från kod som försöker bryta kryptovalutor.

  • Stoppar malware-typen Dofoil
  • Fungerar med Windows 7, Windows 8.1 och Windows 10
  • Nästan omöjligt att identifiera hotet själv
  • Windows Defender stoppade nära 500 000 attacker

Det meddelar Microsoft som i en detaljerad artikel beskriver hur Windows Defender hjälpte att avstyra attacken för användare av Windows 7, Windows 8.1 och Windows 10.

Enligt rapporten identifierade Windows Defender signaler från den skadliga koden som indikerade att en attack var på gång. Och med hjälp av maskinlärning upptäcktes och blockerades fler än 80 000 olika attacker från en mängd trojaner.

Trojanerna var alla varianter på Dofoil och hade alla en så kallad ”payload” med skript för att bryta kryptovalutor. En payload är som innehållet i en låda. Lådan skickas till din dator, öppnas och innehållet körs för att infektera datorn.

Direkt efter de första attackerna lyckades Windows Defender stoppa ytterligare 400 000 instanser där trojanerna användes. Hela 73 procent av attackerna var i Ryssland, 18 procent i Turkiet och 4 procent i Ukraina. Allt skedde under en 12-timmars period.

Själva attacken på en dator går till som följande. I första steget försöker trojanen få åtkomst till Windows med administratörsrättigheter. När det sker injiceras kod i explorer.exe genom att först skapa en ny instans av programmet; den legitima processen får därefter sin kod ersatt med den från trojanen.

När instansen är kopierad och koden injicerad skapas ytterligare en process i Windows som kör koden för att bryta kryptovalutor med datorns hårdvara.

Dofoil är nästan omöjlig att identifiera

Utmaningen för användaren är att processen är nästan omöjlig att identifiera som skadlig eftersom den härmar en legitim instans som vid en första anblick sannolikt inte identifieras som skadlig. För vem skulle tro att explorer.exe kör skadlig kod?

Därefter blir det än mer avancerat då Dofoil-koden modifierar registret för att skydda sig själv. Genom att skapa en kopia av sig själv och ändra registernyckeln för körning av OneDrive-appen kan koden fortsätta att köras även om den initiala koden tas bort.

Slutligen ansluter trojanen som levererar minin-koden till olika proxyservrar för Namecoin-nätverket så att en tredjepart kan skicka kommandon. Det betyder att datorn kan utsätta för mer otyg än bara brytning av kryptovalutor.

Om du använder en uppdaterad version av Windows Defender med Windows 7, Windows 8.1 eller Windows 10 är du skyddad mot den här typen av malware. Någon av de stora antivirusprogrammen ska också stoppa den här typen av attacker.

Uppdatera alltid dina säkerhetsprogram och operativsystemet till de senaste versionerna så fort uppdateringar finns. Om du vill vara än mer säker kan du använda Windows 10 S som inte tillåter applikationer utanför Windows Store; vilket helt ska eliminera den här typen av hot.

Har du drabbats av malware som bryter kryptovalutor? Lyckades ditt säkerhetsprogram stoppa koden eller hittade du den på något annat vis? Skriv gärna en kommentar och berätta!

Taggar
Mikael Anderberg
Visa fler artiklar
Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.
Skribent