Защитник Windows помог предотвратить массовую атаку по распространению вредоносного программного обеспечения Dofoil. Фирменный антивирус защитил пользователей Windows 7, 8.1 и 10 от установки программы, которая осуществляет майнинг криптовалюты.
Как сообщается в официальном блоге Microsoft, Защитник Windows сумел выявить и заблокировать почти 80 тысяч экземпляров усовершенствованных троянцев, представляющих собой вариант Dofoil и дополненных программой для майнинга. В течение 12 часов после первого обнаружения были обнаружены еще 400 тысяч экземпляров, 73% из них — в России.
Вредоносное ПО использует метод инъекции кода в explorer.exe: создается ветка безвредного процесса, код в которой подменяется вредоносным. Зараженный процесс создает еще один экземпляр, который запускает программу-майнер. Обнаружить заражение довольно трудно, поскольку вредоносный процесс маскируется под вполне законный исполняемый файл Windows, но запускается из другого расположения. Защитник Windows использовал для обнаружения технологии машинного обучения и средства анализа поведения.
