12小时内全球400万微软用户被攻击，病毒瞄准财务账户

微软透露，自动威胁检测系统本周在12小时内爆发，阻止了一次巨大的加密恶意入侵活动。这次袭击渗透了400,000台计算机，并使用他们的处理器破解财务账号。

微软网络犯罪中心的走廊里有一个标志，微软数字犯罪股的新总部位于华盛顿州雷蒙德市

微软本周详细介绍了其对重大安全事件的回应。它表示，这起攻击事件是在3月6日中午首次发现的，当时使用Windows Defender防病毒软件的Windows电脑开始报告新的快速增长的恶意入侵活动。后卫系统开始分析并阻止这起攻击，最初从超过8万台电脑中删除。

在接下来的12个小时内，恶意软件通过俄罗斯，土耳其和乌克兰扩散。至少有400,000台机器被感染。与典型的恶意软件爆发相比，这种攻击非常激进，传播速度更快。使用的软件是名为Dofil的木马。

据微软称，Dofoil使用了一种复杂的劫持技术，允许它在Windows机器上持久存在。恶意软件伪装成“explorer.exe”的实例，它是为操作系统的用户界面和文件浏览器提供动力的合法Windows程序。 Dofil推出了自己的资源管理器实例，但随后用自己的恶意内容替换了该应用程序的代码。该技术被称为“过程空心化”，并且具有相对较高的未被注意的机会。

Windows Defender Dofil网络安全响应

一旦将恶意软件加载到其劫持进程中，该软件就会启动另一个用于托管cryto-mining实用程序的恶意实例。同样的技术再次使用，矿工假装是真实的Windows实用程序“wuaucclt.exe”。通过将自身表现为这些程序，恶意软件可降低最终用户或管理员监视日志文件的机会。

微软通过在云中使用Windows Defender的机器学习功能来阻止这种攻击。它声称，Defender自学会在爆发的“毫秒级”内识别恶意软件，这使得新的安装能够一见到即被阻止。在向微软回应团队提供警报之前，其他检测机制会验证攻击的恶意性质。

微软表示：“Windows Defender AV中的人工智能和基于行为的检测已成为我们防御系统的主要支柱之一。 “针对这种攻击提供的基于人工智能的先发制人保护类似于分层机器学习防御在上个月阻止了Emotet爆发。”

微软表示，支持Windows Defender或Microsoft Security Essentials的Windows版本的用户现在将受到保护，免受爆发。恶意软件在俄罗斯，土耳其和乌克兰迅速蔓延的原因可能是由于该国未经许可的Windows副本使用率高。据估计，有64％的人使用非真正的许可证，因此他们没有收到安全更新。