Microsoft chwali swój antywirus. Znów ochronił nas przed epidemią trojanów

Za wykrycie fali infekcji odpowiadają mechanizmy analizy behawioralnej złośliwego kodu i modele uczenia maszynowego. Trojany były w stanie przeprowadzać zaawansowane metody wstrzykiwania między procesami, miały mechanizmy unikania wykrycia i usunięcia. Microsoft wyjawił, że były to nowe warianty zagrożenia Dofoil, znanego też jako Smoke Loader, roznoszącego skrypty kopiące kryptowaluty. Głównymi celami były komputery w Rosji (73% instancji), Turcji (18%) i Ukrainie (4%), w pozostałych krajach wykryte zostały tylko pojedyncze instancje.

Windows Defender najpierw wykrył zachowania mające na celu podtrzymanie infekcji, wykorzystujące nietypowe mechanizmy. Sygnał o podejrzanym wyniku analizy behawioralnej został natychmiast wysłany do chmury, gdzie w ciągu milisekund warstwa sztucznej sieci neuronowej, operująca na metadanych, opracowała wzorzec do natychmiastowego blokowania.

Sytuacja przypomina wybuch epidemii Emotet w ubiegłym miesiącu. Wtedy także sztuczna inteligencja błyskawicznie zareagowała na zagrożenie i stosując kolejne warstwy analizy dostarczyła odpowiednią klasyfikację.

Kilka sekund później po analizie próbki kolejne warstwy, stosujące inne modele analizy, potwierdziły klasyfikację zagrożenia. Odpowiednia klasyfikacja zagrożenia była gotowa w ciągu minut po wykryciu ataku. Użytkownicy Windows Defendera na Windowsie 7 i nowszych mogą czuć się bezpieczni. Microsoft podkreśla, że to kolejny dowód na przydatność mechanizmów Windows Defender Advanced Threat Protection, zaznaczającego podejrzane zachowania, związane z instalacją, wstrzykiwaniem kodu, unikaniem usunięcia i kopaniem kryptowalut.

Niestety Microsoft nie poinformował, jak udało się w tak krótkim czasie dostarczyć trojana do tak dużej liczby odbiorców.