这款名为 Dexphot 的恶意程式手法相当高明,不但会清空合法行程内容,以便借其外壳执行恶意程式,更会每半小时就改变档名及型态,以回避防毒软件侦测。
外国媒体报导, Microsoft 日前发表公告,指一种恶意程式感染了全球几万部电脑,并迫使它们挖掘比特币等虚拟货币。
这款名为 Dexphot 的恶意程式其实自去年起就开始感染全球电脑,但目的不是窃取数据,而是掠夺被感染电脑的算力资源作挖矿,从而为幕后操控者创造收入。据 Microsoft Defender ATP Research 团队的恶意程式监控系统,自去年 10 月起就侦测到大规模感染,这一程式每 20 到 30 分钟即变换一次档名,并植入到数千台装置上,而根据其程式码特性,Microsoft 将之命名为 Dexphot。按现有纪录,Dexphot 灾情在 6 月达到高峰,有高达 8 万电脑被感染,近几个月则降到近 1 万部。
同时,Microsoft 指出,Dexphot 运用了一种很特别的多形(polymorphism)手法。由于近年安全厂商已经蒐罗了无档案恶意程式的数据库,Dexphot 的应对方法,就是演化出可以经常改变散布的恶意档案名及型态来回避侦测,例如有时是普通 .zip 档、有时为密码保护的 zip 档、Loader DLL 档,而每次档案名、使用密码也都不一样,每次改变历时 20 至 30 分钟,等防毒厂商侦测到其感染后,它又换上不同的面貌出现,手法高明。此外,Dexphot 还采用了一些技术来逐步重新安装自己,以确保能在电脑上停留足够长的时间,以挖掘虚拟货币。
但对于 Dexphot 在过去日子所能挖到的币种和数量,报导并无提及。