据火币区块链应用研究院编译，微软周四公布，其Windows Defender有效阻止了一个恶意软件的攻击行为，该软件3月6日曾试图在半天之内感染超过40万用户，强制安装加密货币挖矿软件。

微软周四公布，其Windows Defender有效阻止了一个恶意软件的攻击行为，该软件3月6日曾试图在半天之内感染超过40万用户，强制安装加密货币挖矿软件。

该公司称，在那些感染了Dofoil恶意软件（又名Smoke Loader）的计算机上检测到了攻击，这是一个著名的恶意软件下载器。

微软首席网络安全架构师Mark Simos说，就在3月6日中午（太平洋标准时间）之前，Windows Defender AV有效拦截了多种高级木马的超过8万次攻击。

他补充道，第一次侦测之后，在接下来的12个小时内，又记录到了超过40万次攻击，其中73%发生在俄罗斯，土耳其18%，乌克兰4%。

微软称，第一时间发现木马要归功于Windows Defender内置的基于行为、云驱动型机器学习模式。

Simos称，机器学习模式成功在毫秒内发现了新恶意软件，在数秒内识别出恶意威胁，并在几分钟之内有效拦截。

Simos说，若被这些恶意软件攻击，用户就会看到名为Fuery、Fuerboos、Cloxer、Azden等名字的模块，之后这些模块的名字就变成了Dofoil、Coinminer等等。

微软说，这种Dofoil变种试图挖空正常的操作进程explorer.exe，注入恶意代码。这种恶意代码的作用是拆出另一个explorer.exe进程，会自动下载、运行加密货币挖矿软件coinminer，伪装成Windows的合法进程wuauclt.exe。

Simos说，Windows Defender识别出这是恶意操作的原因是，尽管wuauclt.exe是Windows的合法进程，但恶意软件运行错了磁盘位置。此外，这个进程还带来了可疑的流量，因为coinminer尝试联系位于去中心化Namecoin网络系统的C&C (命令及控制)服务器。

微软说，coinminer软件曾试图挖掘加密货币Electroneum。

Simos说，Windows 10、Windows 8.1、Windows 7都搭载了Windows Defender AV或微软安全软件Microsoft Security Essentials，都受到自动保护。

其他反病毒软件也可能识别出该攻击，因为Dofoil (Smoke Loader)是一种臭名昭著的恶意软件家族，自从2014年以来就分外活跃。

文章来源：bleeping computer

原文作者：Catalin Cimpanu

编译：火币区块链应用研究院