Windows Defender, ktorý je v operačných systémoch Windows základnou ochrannou baštou proti škodlivému kódu rôzneho druhu, mal podľa Microsoftu počas tohto týždňa zabrániť masívnemu útoku s cieľom infikovať čo najväčší počet zariadení a následne ich zneužívať na ťaženie kryptomien.
Prvý útok mal prísť v stredu 6. marca pred obedom, kedy došlo k pokusu o napadnutie viac než 80 000 počítačov, a počas ďalších 12-tich hodín malo postupne dôjsť k snahe o infikovanie takmer 400 000 počítačov.
Tieto útoky sa našťastie podarilo vďaka používaniu riešenia Windows Defender úspešne odvrátiť, a to aj napriek ich pomerne vysokej sofistikovanosti – napadnutie viacerých procesov, či rôzne metódy pre vyhýbanie sa detekcii.
Pri napadnutí dochádzalo k snahe o vytvorenie duplikátu systémového procesu explorer.exe, ktorý by sa tváril ako legitímny proces, akurát by obsahoval škodlivý kód. Svojmu odhaleniu sa ďalej snažil zabrániť úpravou systémových registrov.
Odhaleniu a následnej blokácií malo pomôcť hlavne použitie modelov strojového učenia a pokročilej analýzy, vďaka čomu boli útoky blokované v rádoch milisekúnd od identifikácie podozrivých mechanizmov v kóde.
Bezpečnostní výskumníci boli o masívnom útoku informovaní už po niekoľkých minútach od prvého detegovania anomálie a pustili sa do identifikácie presného typu škodlivého kódu v pozadí útokov.
Windows Defender následne pri blokovaní hrozieb už uvádzal aj presný názov škodlivého kódu, ktorým bol variant trójskeho koňa Dofoil. Väčšina z útokov, až 73% bola zameraná na počítače v Rusku, ďalších 18% v Turecku a výraznejšia aktivita bola taktiež zaznamenaná na Ukrajine.
Microsoft dodáva, že Windows Defender zvládol svoje poslanie a používateľov Windows 7, 8.1 a 10 ochránil voči nástrahám. Napriek tomu si neodpustil, a ako jeden z krokov k maximálnej ochrane počítača odporučil prechod na Windows 10.
Bližšie podrobnosti o spôsobe šírenia spomínaného malvéru, ani o tom, do akej miery bol odchytený aj ďalšími antivírusovými riešeniami, Microsoft neuvádza.
Zdroj: Neowin