O Windows Defender conseguiu impedir a distribuição da variante Dofoil Trojan, que instala código para mineração de criptomoeda no computador da vítima. Conforme relatado no blog oficial da Microsoft.
De acordo com especialistas da empresa, 73% dos trojans encontrados foram na Rússia, 18% na Turquia e 4% na Ucrânia. Em 6 de março, a Microsoft bloqueou mais 480 mil tentativas de instalação.
“A campanha para distribuir este software usou o esquema para introduzir código malicioso no processo padrão do sistema explorer.exe. O processo infectado inicia outro, que por sua vez executa o código para o lançamento do processo de mineração da criptomoeda Electroneum. Em condições normais, é muito difícil para um usuário detectar uma falsificação, uma vez que o vírus funciona dentro de um processo genuíno que é executado a partir de outro local. Isso permite que os invasores explorem o PC da vítima pelo maior tempo possível “, disse o relatório da empresa.Para permanecer despercebido, o Dofoil modifica o registro do sistema. O processo infectado explorer.exe cria uma cópia do malware original na pasta Roaming AppData e, em seguida, renomeia-o para ditereah.exe. Em seguida, o sistema cria uma chave no registro ou modifica a existente para direcionar a cópia criada do vírus.