400 ezer PC-t mentett meg a mesterséges intelligencia

A Microsoft mesterséges intelligencia segítségével akadályozta meg a Dofoil trójai terjedését, amely egy nap alatt 400 ezer PC-t próbált megfertőzni.
 

A Dofoil nem egy új kártékony program, hiszen már 2014 óta ismert a biztonsági cégek előtt. Azóta a károkozó különböző intenzitással, rendszeresen megújuló variánsok formájában ostromolta a számítógépeket, és még napjainkban is aktív. Mi sem bizonyítja mindezt jobban, mint az, hogy március 6-án egy jelentős támadássorozat indult a kártevő felhasználásával.
 
A támadáshullámról a Microsoft számolt be, és elárulta, hogy a károkozó megállításában a mesterséges intelligenciával, gépi tanulással felvértezett technológiák is nagy segítséget nyújtottak. Ezek révén tulajdonképpen pár perc alatt sikerült felismerni az anomáliákat, amiket a Windows Defenderen keresztül gyorsan lehetett kezelni. A Dofoil legújabb verziója a támadás első óráiban 80 ezer számítógépet állított célkeresztbe, majd tovább 400 ezer PC következett. Az érintett rendszerek háromnegyede Oroszországban működött, de egyebek mellett az ukrán és a török felhasználóknak is különösen résen kellett lenniük.
 
Amikor egy fertőzés kezdetét vette, akkor a gépi tanulásra épülő algoritmusok észlelték a nemkívánatos műveleteket, és kezdetben különféle (Fuery, Fuerboos, Cloxer, Azden) víruscsaládokba sorolták az ártalmas kódot, majd blokkolták azt. Később derült ki, hogy valójában a Dofoil egy új variánsa áll a háttérben.
 
Hogy működik?
 
Amikor a Dofoil elindul, akkor megfertőzi az explorer.exe folyamatot, amiből egy második példányt is indít. Ezt követően még egy folyamatot létrehoz wuauclt.exe néven. (Ez egy megtévesztő név, mivel a Windows-hoz is tartozik egy ilyen rendszerfolyamat.)
 
A folyamatokkal történő babrálást követően a trójai kapcsolódik egy vezérlőszerverhez, amelyről további állományokat tölt le. A mostani esetben kriptopénz bányászatra alkalmas programokat igyekezett beszerezni, és Electroneummal próbálta ellátni a terjesztőit. Vagyis a támadások háttéreben kriptobányászat állt.
 
A Microsoft szerint azok a számítógépek, amelyeken megfelelően frissített Windows 10, Windows 8.1 vagy Windows 7 operációs rendszer fut, és aktív a Windows Defender, azok védettek a károkozóval szemben. Természetesen ez nem jelenti azt, hogy más, naprakészen tartott víruskeresők ne tudnák detektálni a trójait.