В Microsoft раскрыли принцип работы коварного ПО, уже год заражающего компьютеры
Вячеслав Ларионов –
Инженеры Microsoft рассказали о новом вредоносном программном обеспечении, за год заразившем более 80 000 компьютеров, объединив их в единую бот-сеть для добычи криптовалюты.
Программа называется Dexphot, а пик её деятельности пришёлся на лето 2019 года — именно тогда она смогла заразить наибольшее количество компьютеров. Проще всего Dexphot "подхватывали" любители взломанного программного обеспечения, получавшие вместе с желаемой "бесплатной" программой целый набор программ сомнительного характера, среди которых часто оказывался загрузчик ICLoader. Именно он в большинстве случаев и отвечает за фоновую установку Dexphot.
Фото: Microsoft
Обнаружение последней затрудняет не только принцип загрузки и установки, при котором на компьютер загружался только сам установщик. После того, как настройка вредоносного ПО завершалась, даже он удалялся, а Dexphot начинает работать, заражая msiexec.exe, unzip.exe, rundll32.exe и другие исполняемые файлы, обычно предустанавливаемые на машины с операционными системами семейства Windows.
Но даже после обнаружения Dexphot от него было не так просто избавиться. Его операторы подстраховались и на этот случай, меняя каждые полчаса названия файлов и адреса, с которых загружается вредоносное программное обеспечение, поэтому даже скомпрометировавший себя сценарий, обнаруженный противовирусным ПО не даёт желаемых результатов. Более того, даже после очистки компьютера антивирусом нельзя быть уверенным в том, что компьютер удалось полностью обезопасить.
Фото: Microsoft. принцип работы Dexphot
Дело в том, что Dexphot обладает своеобразным планировщиком задач, который записывается внутрь svchost.exe и nslookup.exe, регулярно проверяя обновления и наличие всех необходимых ему для работы компонентов. Если какой-либо из них отсутствует, планировщик тут же подгружает его с сервера злоумышленников, вновь разворачивая вредоносную деятельность с использованием ресурсов жертвы.
Даже если антивирус обнаруживает заражённый svchost.exe, дублёр nslookup.exe в большинстве случаев продолжает работать, исправляя ситуацию в свою пользу, а заодно и скачивая свежайшие обновления, которые содержат последние инструкции для бот-сети.
Фото: Shutterstock
Это новость от журнала ММ «Машины и механизмы». Не знаете такого? Приглашаем прямо сейчас познакомиться с этим удивительным журналом.