Dexphot

Dexphot惡意軟件是一種相當複雜的加密貨幣礦工，其編程目標是運行Windows的計算機。這種類型的威脅通常以非常相似的方式進行操作-它們感染主機，然後使用系統的計算能力來挖掘加密貨幣，該加密貨幣會轉移給礦工的運營商。 Dexphot威脅最早在2018年就引起了惡意軟件研究人員的注意，但其活動一直在逐漸增加，到2019年6月達到頂點。據報導，今年6月，Dexphot礦工已經破壞了超過90,000個系統據稱在全球範圍內。

留在用戶和分析師的關注之下

Dexphot礦工的作者做出了很大的努力，以確保受害者不會發現這種威脅。這是通過以無文件模式運行來實現的-Dexphot礦工首先將其文件放置在滲透的主機上，然後將其移動到系統的內存中，從而大大減少了威脅活動的痕跡。這不僅使受害者發現威脅的可能性大大降低，而且使惡意軟件分析師的工作更加艱鉅。此外，Dexphot礦工的創建者還實施了一種稱為“陸地生存”的技術，該技術可使威脅將其代碼注入合法的Windows進程中並通過它們運行。除此之外，Dexphot加密貨幣礦機還設計為以多態方式運行。這意味著為了避免被網絡安全工具和應用程序發現，Dexphot礦機確保定期更改簽名，URL和名稱。反惡意軟件工具在尋找威脅時通常依賴於檢測模式，而Dexphot礦工利用其多態性將受感染主機上可能存在的任何反病毒應用程序弄糊塗。

堅持不懈

一旦Dexphot加密貨幣礦工滲透到系統中，它將確保篡改Windows註冊表項以獲得持久性。這種威脅還可以確保每次用戶通過安排各種任務重新啟動系統時都可以運行該威脅。有問題的任務可以達到不同的目的–多虧了它們，Dexphot礦工可以更新自身，並且即使威脅從受感染的計算機中消失也可以重新感染主機。後者顯示了Dexphot礦工的作者為持久化這一威脅付出了多大的努力，因為沒有太多的加密貨幣礦工創建者走這麼遠。

使用受害者硬件開採加密貨幣

儘管Dexphot礦機在獲得持久性和靜默運行方面具有令人印象深刻的功能，但其本質上卻相當基礎，與大多數此類威脅沒有太大不同。惡意軟件研究人員推測Dexphot礦機將作為第二階段有效載荷交付到受感染主機上，但是這一理論尚未得到證實。一旦將礦工成功地植入目標系統，Dexphot威脅將開始使用受害者的硬件來挖掘加密貨幣。如果Dexphot礦機長時間運行，這不僅可能導致性能問題，而且還可能會縮短系統的使用壽命。

Dexphot加密貨幣礦工是一個相當有趣的威脅，已成功感染了許多系統。儘管受害者人數眾多，但我們無法透露Dexphot礦工的作者到目前為止已經兌現了多少錢。為了使您的系統免受Dexphot之類的威脅的影響，請確保下載並安裝合法的反惡意軟件安全套件，並且不要忘記定期更新所有軟件。