Dexphotは、セキュリティ研究者によって検出されたポリモーフィックマルウェアの最新株の1つです。. マルウェアはほぼ攻撃しました 80,000 年間を通して機械.
Dexphotは数万台のコンピューターに感染しました
Dexphotは10月に最初に検出されました 2018, また、コードの分析が困難な作業になるレベルまで何度もアップグレードされています. マルウェアは6月に再出現しました 2019, 何万台ものマシンに影響を与えたとき. 攻撃は数週間で治まりました, マルウェアは以下で見られました 10,000 毎日のコンピューター.
Microsoftの研究者によると, Dexphotは、セキュリティソフトウェアを回避するために、さまざまな高度な方法を利用しました, 難読化のレイヤーなど, 暗号化, インストールプロセスを隠すためのランダム化されたファイル名. マルウェアはまた、ファイルレスマルウェア技術を使用してメモリ内の悪意のあるコードを実行しました, フォレンジック分析の痕跡はほとんど残されていません.
Dexphotはまた、正当なシステムプロセスを乗っ取って、悪意のあるアクティビティを偽装しました. 停止しない場合, マルウェアはまた、侵害されたシステムで暗号通貨マイナーを実行しました, 監視サービスとスケジュールされたタスクにより、防御側がマルウェアを削除しようとしたときに再感染がトリガーされます, マイクロソフト 言った.
マルウェアが高度な動作を示したため, 永続性, ポリモーフィズムとファイルレス技術, キャッチする唯一の方法は、行動ベースの検出を使用することでした.
Dexphotマルウェア感染の初期段階は、次のもので構成されていました。:
2つのURLを持つインストーラー
いずれかのURLからダウンロードされたMSIパッケージファイル
パスワードで保護されたZIPアーカイブ
ローダーDLL, アーカイブから抽出されたもの
プロセスの空洞化を介してシステムプロセスにロードされる3つの追加の実行可能ファイルを保持する暗号化されたデータファイル
Dexphotのポリモーフィズム
マルウェアは、配布したバイナリでポリモーフィズムの複数のレイヤーを使用していました. マルウェアによって利用されるファイルの一部は、毎回変更されるように設定されていました 20-30 分. 含まれているマルウェアによって配信されたMSI実行可能ファイル
Dexphotによってデプロイされたファイルの一部は、毎回変更されます 20 また 30 分, その活動を追跡することを困難にする. MSI実行可能ファイルとして提供, パッケージには、感染ごとに異なるさまざまなファイルが含まれていました.
„MSIパッケージには通常、クリーンバージョンのunzip.exeが含まれています, パスワードで保護されたZIPファイル, 現在インストールされているウイルス対策製品をチェックするバッチファイル. でも, バッチファイルが常に存在するとは限りません, およびZIPファイルとローダーDLLの名前, また、ZIPファイルを抽出するためのパスワード, すべてが1つのパッケージから次のパッケージに変更されます,「マイクロソフトは言った.
知ってますか? ポリモルフィックマルウェアは、自身を複製して次のファイルに感染するたびに、ウイルスの署名を変更します. そうすることによって, ウイルスはAVソフトウェアによる検出を回避します. の 2016, Webrootの研究者は 27 十億のURL, 600 百万のドメイン, 4 10億のIPアドレス, 20 モバイルアプリケーション, 10 百万の接続されたセンサー, そして少なくとも 9 百万のファイル動作レコード. の 97% 感染例の, マルウェアは多型として識別されました, またはシステムに固有.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: