全球8万台计算机被劫持挖矿：伪装技术极高，还会重复安装

IT之家

11月27日消息 微软近日发布警报，详细介绍了一种名为Dexphot的新恶意软件变种，自2018年首次发现以来，已经感染了80,000多个设备。

据悉，黑客主要利用Dexphot来挖掘加密货币，并非窃取数据，尽管该病毒相对无害，但所使用的方法非常复杂，使其能够逃避传统的安全工具监测。它的技术之一是多态性伪装，能够不断改变自己在计算机上的足迹，每20-30分钟改变一次。还可以重新安装自己，以确保有足够的时间挖矿。

Dexphot会将五个密钥文件写入磁盘，包括一个带有两个URL的安装程序；从其中一个网址下载的MSI打包文件，即受密码保护的zip文件；从档案中提取的加载器DRL；和一个加密的数据文件，其中三个附加可执行文件已加载到系统进程中。

“除了安装程序，在执行过程中运行的其他进程是合法的系统进程。这会使检测和修复更加困难。”研究人员指出。“在以后的阶段中，Dexphot会针对其他一些系统进程进行空洞化，包括svchost.exe，tracert.exe和setup.exe。”

目前，微软通过部署相关策略以提高检测率和阻止攻击，受感染设备数量缓慢下降。截止到今年7月31日，已经不到1万台。