Identificado como Dofoil ou Smoke Loader, o malware foi criado para fazer o download do trojan capaz de minerar criptomoedas Ethereum através de PCs infetados.
A 6 de março, o antivírus Windows Defender foi capaz de detetar, numa fase inicial, 80 000 instâncias de trojans capacitados deste software malicioso. Nas 12 horas seguintes, o Windows Defender identificou mais de 400 000 instâncias na Rússia, Turquia e Ucrânia.
A empresa de Redmond afirma que o Dofoil utiliza uma técnica conhecida como ‘process hollowing’ existente no ficheiro do Windows, o explore.exe. Esta técnica acaba por criar uma segunda instância do ficheiro legítimo, porém acaba por substituir o seu código por malware.
O explorer.exe infetado com o código do malware cria outra copia de um outro ficheiro do Windows, o wuauclt.exe, passando a ter integrado no seu código o malware minerador de criptomoedas.
O Dofoil para se manter no PC infetado, modifica o Registo do Windows depois de executar a técnica ‘process hollowing’ no ficheiro explore.exe do Windows, criando copia do malware original, colocando-o na pasta Roaming existente na diretoria AppData. De seguida muda o nome do ficheiro para ditereah.exe. Após esta tarefa engenhosa, o malware cria uma chave no Registo ou altera uma já existente apontando para uma cópia do malware.
A Microsoft alerta que os utilizadores do Windows 10, Windows 8.1 e Windows 7 e que possuem o software Windows Defender estão, automaticamente, protegidos contra esta ameaça graças à tecnologia de deteção que é baseada no comportamento e na tecnologia de proteção do software de segurança.