Dexphot ist eine der neuesten Stämme polymorpher Malware von Sicherheitsexperten entdeckt. Die Malware angegriffen fast 80,000 Maschinen während des ganzen Jahres.
Dexphot Infizierte Zehntausende von Computern
Dexphot wurde im Oktober festgestellt 2018, und es wurde mehrfach auf ein Niveau aufgerüstet, dass sein Code analysiert wurde eine anspruchsvolle Aufgabe. Die Malware wieder erschien im Juni 2019, wenn sie betroffen Zehntausende von Maschinen. Die in ein paar Wochen nachgelassen Angriffe, und die Malware wurde gesehen auf weniger als 10,000 Computer täglich.
Laut Microsoft-Forscher, Dexphot verschiedene ausgefeilte Methoden zu umgehen Sicherheitssoftware genutzt, wie beispielsweise Schichten von Verschleierungs, Verschlüsselung, und randomisierten Dateinamen mit der Installation zu verbergen. Die Malware hat auch dateilosen Malware-Techniken verwendet, bösartigen Code im Speicher zu laufen, welche Blätter fast keine Spuren für Forensik-Analyse.
Dexphot auch legitime Systemprozesse entführt bösartige Aktivitäten zu verschleiern. Wenn nicht gestoppt, die Malware liefen auch einen Kryptowährung Bergmann auf dem kompromittierten System, mit Dienstleistungen und geplante Aufgaben Überwachung Reinfektion Auslösen, wenn Verteidiger die Malware zu entfernen versuchen,, Microsoft sagte.
Da die Malware angezeigt anspruchsvolle Verhalten, Beharrlichkeit, Techniken Polymorphismus und dateilose, der einzige Weg zu fangen war die Verwendung von verhaltensbasierten Erkennung.
Die frühen Stadien der Dexphot Malware-Infektion bestand aus folgenden:
Ein Installationsprogramm mit zwei URLs
Eine MSI-Paketdatei von einem der URLs heruntergeladen
Ein passwortgeschützte ZIP-Archiv
Ein Lader DLL, die aus dem Archiv extrahiert
Eine verschlüsselte Datendatei, die drei zusätzliche ausführbare Dateien enthält, die in den Systemprozessen über Prozess hollowing geladen werden
Dexphot des Polymorphismus
Die Malware verwendet, um mehrere Schichten von Polymorphismus in den Binärdateien es verteilt. Einige der Dateien von der Malware verwendet wurden, setzen alle Änderungen 20-30 Minuten. Die MSI ausführbare von der Malware ausgeliefert enthalten
Einige der von Dexphot eingesetzten Dateien würde jede Änderung 20 oder 30 Minuten, was es schwierig macht seine Aktivität zu verfolgen. Geliefert als MSI-ausführbare, das Paket enthielt eine Vielzahl von Dateien, die von einer Infektion zu anderen unterschiedlich waren.
„Die MSI-Pakete enthalten in der Regel eine saubere Version von unzip.exe, eine kennwortgeschützte ZIP-Datei, und eine Batchdatei, die prüft, ob derzeit installierten Antiviren-Produkte. Jedoch, die Batch-Datei ist nicht immer vorhanden, und die Namen der ZIP-Dateien und Loader DLLs, sowie das Passwort zum Extrahieren der ZIP-Datei, alle Wechsel von einem Paket zum nächsten,„Microsoft sagte,.
Wusstest du schon? Polymorphe Malware wird seine Virensignatur jedes Mal ändern sie sich repliziert und infiziert die nächste Datei. Dadurch, das Virus Erkennung von AV-Software umgehen. In 2016, Webroot Forscher analysierten mehr als 27 Milliarden URLs, 600 Millionen Domains, 4 Milliarden IP-Adressen, 20 mobile Anwendungen, 10 Millionen angeschlossene Sensoren, und mindestens 9 Millionen-Datei Verhalten Aufzeichnungen. In 97% der Infektionsfälle, Malware wurde als polymorphe identifiziert, oder innerhalb des Systems eindeutig.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: