Защитник Windows заблокировал массовое распространение скрытого майнера

Многие пользователи все еще недооценивают важность наличия антивирусной программы для борьбы с нежелательным ПО на компьютере и отключают даже такую стандартную вещь, как Защитник Windows – а зря.

В сети появилась новость о том, что именно благодаря программе Windows Defender была остановлена крупномасштабная вирусная атака трояном DeFoil. Об этом представители Microsoft сообщили в своем блоге.

Специалисты утверждают, что 73% обнаруженных попыток взлома пришлись на Россию, 18% на Турцию и еще 4% на Украину. Компания сообщила, что предотвратила свыше 80 000 интеграций DeFoil, а в течение последующих 12 часов нашла еще 400 000 попыток. Однако, неизвестно, были ли все они заблокированы, или же нет.

По словам экспертов компании, для массового заражения был задействован принцип внедрения программного кода в один из процессов, запущенных в Windows по умолчанию – explorer.exe. Он активировал еще один, а последний, в свою очередь, отвечал за запуск кода для майнинга цифровой валюты Electroneum. Заметить данную «дыру» рядовому юзеру вряд ли представлялось возможным – троян внедрялся в стандартный процесс, и система не блокировала ему доступ. Такой подход позволил бы хакерам пользоваться мощностями своих жертв месяцами.

Помимо замены explorer.exe, DeFoil вносил изменения в реестр системы, создавая свой дубль в директории Roaming AppData, а затем название менялось на ditereah.exe. В итоге, был создан новый ключ в реестре, либо видоизменен уже существующий.

Майкрософт отметили, что те пользователи, которые не выключали Windows Defender на системах Windows 7, 8.1 и 10 были надежно защищены от проделок взломщиков.