Защита сработала
По словам специалистов компании, 73% обнаруженных троянов приходились на Россию, 18% на Турцию и 4% на Украину. 6 марта Microsoft заблокировала 80 тысяч попыток внедрения, а на протяжении следующих 12 часов обнаружила еще 400 тысяч попыток.
«Кампания по распространению этого ПО использовала схему внедрения вредоносного кода в стандартный системный процесс explorer.exe. Зараженный процесс запускает другой, который в свою очередь исполняет код для запуска процесса майнинга криптовалюты Electroneum. В обычных условиях пользователю весьма непросто обнаружить подделку, поскольку вирус работает внутри подлинного процесса, который исполняется с другого места. Это позволяет злоумышленникам эксплуатировать железо жертвы максимально долгое время», — говорится в отчете компании.
Чтобы оставаться незамеченным, Dofoil изменяет реестр системы. Зараженный процесс explorer.exe создает копию оригинального вредоносного ПО в папке Roaming AppData и затем переименовывает ее в ditereah.exe. Затем создается ключ в реестре или модифицируется существующий для направления созданной копии вируса.
Microsoft отметила, что пользователи на Windows 7, Windows 8.1 и Windows 10 с включенным Защитником Windows/Microsoft Security Essentials защищены от этой атаки.