Windows Defender-მა მაინინგის მავნე კოდის მასობრივი შეტევა აღკვეთა

WannaCry და Petya-ს შეტევების შემდეგ Microsoft-ი მომხმარებლებს Windows 10-მდე განახლებისა და კომპანიის ბოლო ანტივირუსული პროგრამული უზრუნველყოფის გამოყენებისკენ მოუწოდებს. შესაძლოა ვინმეს ეს მხოლოდ მარკეტინგულ გათვლად მოეჩვენოს, თუმცა კომპანიის ოპერაციული სისტემის ბოლო ვერსია ნამდვილად მაღალი დაცულობით გამოირჩევა. კომპანიის ოფიციალურ ბლოგზე გამოქვეყნებული ანგარიშიდან ირკვევა, რომ რამდენიმე დღის წინ Windows Defender-მა მასობრივი მაინერული შეტევა აღკვეთა.

კომპანია Microsoft-მა დროულად აღმოაჩინა Dofoil ვირუსი, რომლის კოდიც მსხვერპლის კომპიუტერს კრიპტოვალუტის მაინინგისთვის იყენებდა. კომპანიის თქმით ტროიანების 73% რუსეთში, 18% თურქეთში და 4% უკრაინაში აღმოაჩინეს. 6 მარტს კი Microsoft-მა აღნიშნული მავნე კოდის ჩანერგვის 80 000 შემთხვევა აღკვეთა, ხოლო მომდევნო 12 საათში ეს რიცხვი 400 000 მცდელობამდე გაიზარდა.

მავნე კოდის ავტორების სქემით საეჭვო პროცესი explorer.exe-ში ინერგებოდა, რის შემდეგაც ეშვებოდა ცალკე, უშუალოდ მაინერის კოდი, რომელიც კრიპტოვალუტის გამომუშავებას მსხვერპლის კომპიუტერის სიმძლავრეებით იწყებდა. აღნიშნული პროცესი Electroneum კრიპტოვალუტის გამომუშავებას ემსახურებოდა. ჩვეულებრივ პირობებში საეჭვო პროცესის აღმოჩენა ცოტა რთული იქნება, ვინაიდან ვირუსი ნამდვილი პროცესის შიგნით მუშაობს და სხვა ადგილმდებარეობიდან სრულდება.

იმისათვის, რომ Dofoil-ი შეუმჩნეველი დარჩეს, ის სისტემის რეესტრს ცვლის. დაინფიცირებული პროცესი explorer.exe ქმნის მავნე კოდის ასლს Roaming AppData-ში და არქმევს მას ditereah.exe. ამის შემდეგ რეესტრში იქმნება ახალი ან მოდიფიცირდება არსებული ჩანაწერი ვირუსის ასლის მიმართვისთვის. ჩვენ მიერ ჩატარებული ერთ-ერთი სამაგალითო ნომუშის მიხედვით, ვირუსმა OneDrive Run-ის ჩანაწერი შეცვალა.

დაინფიცირებული explorer.exe ქმნის და უშვებს ფაილს D1C6.tmp.exe (SHA256: 5f3efdc65551edb0122ab2c40738c48b677b1058f7dfcdb86b05af42a2d8299c) საქაღალდეში Temp. თავის მხრივ D1C6.tmp ქმნის და უშვებს საკუთარ ასლს, რომელსაც არქმევს lyk.exe. ამის შემდეგ lyk.exe უკავშირდება IP-მისამართებს, რომლებიც მუშაობენ როგორც DNS პროქსი-სერვერები Namecoin ქსელისთვის. ამისშემდეგ ის ცდილობს С&C-ის vinik.bit სერვერთან დაკავშირებას NameCoin-ის ინფრასტრუქტურის შიგნით. C&C-ის სერვერი ვირუსს აძლევს ბრძანებებს, როგორებიცაა IP მისამართთან დაკავშირება/ კავშირის გაწყვეტა, ჩამოტვირთვა, აღსრულება, ფაილის წაშლა ან პასიურ მდგომარეობის შენარჩუნება.

Microsoft-ი აღნიშნავს, რომ Windows 7, Windows 8.1 და Windows 10 სისტემები, რომლებიც Windows Defender/ Microsoft Security Essentials იყენებენ დაცულები არიან მსგავსი შეტევებისგან. კომპანია აღნიშნავს, რომ მაქსიმალური დაცულობისთვის უკეთესი იქნება, თუ მომხმარებლები Windows 10-ზე გადავლენ. კომპანიის წარმომადგენლებმა უსაფრთხოების მხრივ Windows 10-ის ე.წ „S“ რეჟიმის უპირატესობებზეც ისაუბრეს.

წყარო: Microsoft

 

კატეგორიები

9/3/2018