Microsoft chwali swój antywirus. Znów ochronił nas przed epidemią trojanów
09.03.2018 13:47
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
6 marca naszym komputerom groziło ogromne niebezpieczeństwo, ale ochronił je Windows Defender. Antywirus Microsoftu w ciągu milisekund zablokował ponad 80 tysięcy instancji zaawansowanych trojanów. Przez kolejnych 12 godzin zaobserwowano jeszcze 400 tysięcy wystąpień złośliwych programów.
Za wykrycie fali infekcji odpowiadają mechanizmy analizy behawioralnej złośliwego kodu i modele uczenia maszynowego. Trojany były w stanie przeprowadzać zaawansowane metody wstrzykiwania między procesami, miały mechanizmy unikania wykrycia i usunięcia. Microsoft wyjawił, że były to nowe warianty zagrożenia Dofoil, znanego też jako Smoke Loader, roznoszącego skrypty kopiące kryptowaluty. Głównymi celami były komputery w Rosji (73% instancji), Turcji (18%) i Ukrainie (4%), w pozostałych krajach wykryte zostały tylko pojedyncze instancje.
Windows Defender najpierw wykrył zachowania mające na celu podtrzymanie infekcji, wykorzystujące nietypowe mechanizmy. Sygnał o podejrzanym wyniku analizy behawioralnej został natychmiast wysłany do chmury, gdzie w ciągu milisekund warstwa sztucznej sieci neuronowej, operująca na metadanych, opracowała wzorzec do natychmiastowego blokowania.
Sytuacja przypomina wybuch epidemii Emotet w ubiegłym miesiącu. Wtedy także sztuczna inteligencja błyskawicznie zareagowała na zagrożenie i stosując kolejne warstwy analizy dostarczyła odpowiednią klasyfikację.
Kilka sekund później po analizie próbki kolejne warstwy, stosujące inne modele analizy, potwierdziły klasyfikację zagrożenia. Odpowiednia klasyfikacja zagrożenia była gotowa w ciągu minut po wykryciu ataku. Użytkownicy Windows Defendera na Windowsie 7 i nowszych mogą czuć się bezpieczni. Microsoft podkreśla, że to kolejny dowód na przydatność mechanizmów Windows Defender Advanced Threat Protection, zaznaczającego podejrzane zachowania, związane z instalacją, wstrzykiwaniem kodu, unikaniem usunięcia i kopaniem kryptowalut.
Niestety Microsoft nie poinformował, jak udało się w tak krótkim czasie dostarczyć trojana do tak dużej liczby odbiorców.
