发布时间:2018-03-19 19:50:01 文章来源:互联网
微博 微信 QQ空间

在上周产生了一起大规模恶意软件爆发事务,仅在12个小时内就有跨越50万台计较机遭到了感染,而恶意软件的目的是在受感染计较机上安排加密货泉挖矿轨范。按照最新的查询拜候成效表示,这起事务是由流行的种子下载工具MediaGet形成的。

被称为“Dofoil”(也称Smoke Loader)的恶意软件被创造将一个加密货泉挖矿轨范作为终极有效载荷安排在了受感染的Windows计较机上,以把持计较机的CPU资源为鞭挞打击者发掘以利坊(Electroneum)。

在3月6日,鞭挞打击俄罗斯、土耳其和乌克兰计较机用户的Dofoil勾当被微软Windows Defender团队创造,并在可能形成更严峻的损害之前将其拦阻。

不外,在Windows Defender团队的研究人员创造这起鞭挞打击时,他们并没有提到恶意软件是若安在如斯短的时辰内若何分发给如斯复杂的用户群体的。经由一周的查询拜候,微软在本周三给我们带来了谜底。

Windows Defender团队指出,Dofoil是经由过程名为“my.dat”的文件登录到受害者的计较机上,而这个文件是由MediaGet的木马化版本中的可实行文件mediaget.exe建树的。

Windows Defender团队在其公布的博客文章中诠释说:“一个经由签名的mediaget.exe会下载一个update.exe轨范并在计较机上运转它,以安装一个新的mediaget.exe。而新的mediaget.exe轨范与原始轨范具有不异的功能,但具有分外的后门功能。”

同时,Windows Defender团队还指出,3月6日的恶意软件爆发事务是一起经由精心筹划的鞭挞打击勾当,最后的根本工作可以追溯到2月中旬。

鞭挞打击者可能在2月12日至19日时代就已经成功侵入了MediaGet的根本架构,并将官方的MediaGet安装轨范替代为了包含后门功能的木马化版本。

鞭挞打击者在3月1日起头了第一次鞭挞打击测试,把持后门在方针受害者的计较机上植入恶意软件,并在3月6日建议了基于Dofoil木马与加密货泉挖矿轨范相连系的鞭挞打击勾当。

在MediaGet的木马化版本被成功安装后,它将随机毗连到位于其分布式Namecoin搜集根本架构上的四个呼吁与节制(C&C)办事器中的其中一个,然后下载并运转my.dat(用于下载Dofoil),终极导致加密货泉挖矿轨范的安排。

另一视角

换一换