A Microsoft anunciou ter conseguido evitar que fossem infetados mais de 500 mil computadores, graças à acção do Windows Defender que foi capaz de detetar um malware capaz de minerar criptomoedas.
O malware identificado como Dofoil ou Smoke Loader, foi criado para fazer o download do trojan capaz de minerar criptomoedas Ethereum através de PCs infetados. Segundo a Microsoft, o antivírus Windows Defender foi capaz de detetar, numa fase inicial, 80 000 instâncias de trojans capacitados deste software malicioso. Nas 12 horas seguintes, o Windows Defender identificou mais de 400 000 instâncias na Rússia, Turquia e Ucrânia.
A empresa de Redmond afirma que o Dofoil utiliza uma técnica conhecida como ‘process hollowing’ existente no ficheiro do Windows, o explore.exe. Esta técnica acaba por criar uma segunda instância do ficheiro legítimo, porém acaba por substituir o seu código por malware. O Dofoil para se manter no PC infetado, modifica o Registo do Windows depois de executar a técnica ‘process hollowing’ no ficheiro explore.exe do Windows, criando copia do malware original, colocando-o na pasta Roaming existente na diretoria AppData.
