اليوم ، أوضحت Microsoft أن سلالة جديدة من البرمجيات الخبيثة تصيب أجهزة الكمبيوتر التي تعمل بنظام Windows عبر Dexphot منذ أكتوبر 2018. كانت ذروتها في يونيو عندما كان عدد أجهزة الكمبيوتر المصابة أكثر من 80.000.
بدأت هذه البرامج الضارة من إيذاء محتوى عمليتين شرعيتين – ملف svchost.exe و nslookup.exe. ثم استخدموا المهام لجعل الضحية يصاب مرة واحدة كل 90 دقيقة. علاوة على ذلك ، استخدموا بشكل فعال تعدد الأشكال ، مما يجعل جميع النظم معقدة للغاية.
من بين جميع المهام ، فإن أكثر ما يلفت النظر هو “تعدد الأشكال التمويه” ، والذي يمكنه تغيير أسماء الملفات والملفات على الكمبيوتر كل 20 إلى 30 دقيقة. وبالتالي ، فإنه يجعل أجهزة الكمبيوتر التي تعمل بنظام Windows أكثر عرضة للخطر من حيث جوانب الجرائم الإلكترونية.
تم تجهيز Dexphot بخمسة ملفات: أداة تثبيت تحتوي على عنوانين URL ، ومحمل DRL ، وملف بيانات مشفر ، يتضمن 3 ملفات إضافية. نظرًا لأن جميع العمليات مشروعة ، باستثناء عملية التثبيت ، فإن الاسترداد صعب للغاية. علاوة على ذلك ، كان Dexphot يستخدم للتعامل مع أجهزة الكمبيوتر التي كانت مصابة في السابق ببرامج ضارة أخرى ، أي أنها تجعل المشكلة أكثر تعقيدًا.
من المتوقع أن تتمكن Dexphot من الإضرار ببعض العمليات الهامة الأخرى مثل svchost.exe و tracert.exe و setup.exe. علاوة على ذلك ، ستستخدم أيضًا تقنية تسمى “العيش خارج الأرض” لإساءة استخدام عمليات Windows المشروعة وتنفيذ تعليمات برمجية ضارة ، بدلاً من تشغيل عملياتها الخاصة. وفقًا لـ Microsoft ، تمكنت Dexphot من استخدام unzip.exe و powershel.exe وما إلى ذلك من أجل “أغراضها”.