Найти в Дзене
Журнал «Машины и механизмы»
2087 подписчиков

В Microsoft раскрыли принцип работы коварного ПО, уже год заражающего компьютеры

105
1 мин
Инженеры Microsoft рассказали о новом вредоносном программном обеспечении, за год заразившем более 80 000 компьютеров, объединив их в единую бот-сеть для добычи криптовалюты. Программа называется Dexphot, а пик её деятельности пришёлся на лето 2019 года — именно тогда она смогла заразить наибольшее количество компьютеров. Проще всего Dexphot "подхватывали" любители взломанного программного обеспечения, получавшие вместе с желаемой "бесплатной" программой целый набор программ сомнительного характера, среди которых часто оказывался загрузчик ICLoader. Именно он в большинстве случаев и отвечает за фоновую установку Dexphot. Обнаружение последней затрудняет не только принцип загрузки и установки, при котором на компьютер загружался только сам установщик. После того, как настройка вредоносного ПО завершалась, даже он удалялся, а Dexphot начинает работать, заражая msiexec.exe, unzip.exe, rundll32.exe и другие исполняемые файлы, обычно предустанавливаемые на машины с операционными системами с

Инженеры Microsoft рассказали о новом вредоносном программном обеспечении, за год заразившем более 80 000 компьютеров, объединив их в единую бот-сеть для добычи криптовалюты.

Фото: Shutterstock
Фото: Shutterstock

Программа называется Dexphot, а пик её деятельности пришёлся на лето 2019 года — именно тогда она смогла заразить наибольшее количество компьютеров. Проще всего Dexphot "подхватывали" любители взломанного программного обеспечения, получавшие вместе с желаемой "бесплатной" программой целый набор программ сомнительного характера, среди которых часто оказывался загрузчик ICLoader. Именно он в большинстве случаев и отвечает за фоновую установку Dexphot.

Фото: Microsoft
Фото: Microsoft

Обнаружение последней затрудняет не только принцип загрузки и установки, при котором на компьютер загружался только сам установщик. После того, как настройка вредоносного ПО завершалась, даже он удалялся, а Dexphot начинает работать, заражая msiexec.exe, unzip.exe, rundll32.exe и другие исполняемые файлы, обычно предустанавливаемые на машины с операционными системами семейства Windows.

Но даже после обнаружения Dexphot от него было не так просто избавиться. Его операторы подстраховались и на этот случай, меняя каждые полчаса названия файлов и адреса, с которых загружается вредоносное программное обеспечение, поэтому даже скомпрометировавший себя сценарий, обнаруженный противовирусным ПО не даёт желаемых результатов. Более того, даже после очистки компьютера антивирусом нельзя быть уверенным в том, что компьютер удалось полностью обезопасить.

Фото: Microsoft. принцип работы Dexphot
Фото: Microsoft. принцип работы Dexphot

Дело в том, что Dexphot обладает своеобразным планировщиком задач, который записывается внутрь svchost.exe и nslookup.exe, регулярно проверяя обновления и наличие всех необходимых ему для работы компонентов. Если какой-либо из них отсутствует, планировщик тут же подгружает его с сервера злоумышленников, вновь разворачивая вредоносную деятельность с использованием ресурсов жертвы.

Даже если антивирус обнаруживает заражённый svchost.exe, дублёр nslookup.exe в большинстве случаев продолжает работать, исправляя ситуацию в свою пользу, а заодно и скачивая свежайшие обновления, которые содержат последние инструкции для бот-сети.

Другие материалы:

Теперь на смартфонах Samsung можно играть в компьютерные игры

Действующий чемпион мира по игре Го сложил с себя полномочия из-за искусственного интеллекта

Читайте свежий номер журнала «ММ»

Вернуться на главную страницу

Бизнес и финансы
1,13 млн интересуются