Microsoft：感染Dexphot病毒全球8万部电脑变比特币矿机

这款名为 Dexphot 的恶意程式手法相当高明，不但会清空合法行程内容，以便借其外壳执行恶意程式，更会每半小时就改变档名及型态，以回避防毒软件侦测。

外国媒体报导，Microsoft日前发表公告，指一种恶意程式感染了全球几万部电脑，并迫使它们挖掘比特币等虚拟货币。

这款名为Dexphot的恶意程式其实自去年起就开始感染全球电脑，但目的不是窃取数据，而是掠夺被感染电脑的算力资源作挖矿，从而为幕后操控者创造收入。据 Microsoft Defender ATP Research 团队的恶意程式监控系统，自去年 10 月起就侦测到大规模感染，这一程式每 20 到 30 分钟即变换一次档名，并植入到数千台装置上，而根据其程式码特性，Microsoft 将之命名为 Dexphot。按现有纪录，Dexphot 灾情在 6 月达到高峰，有高达 8 万电脑被感染，近几个月则降到近 1 万部。

同时，Microsoft 指出，Dexphot 运用了一种很特别的多形（polymorphism）手法。由于近年安全厂商已经蒐罗了无档案恶意程式的数据库，Dexphot 的应对方法，就是演化出可以经常改变散布的恶意档案名及型态来回避侦测，例如有时是普通 .zip 档、有时为密码保护的 zip 档、Loader DLL 档，而每次档案名、使用密码也都不一样，每次改变历时 20 至 30 分钟，等防毒厂商侦测到其感染后，它又换上不同的面貌出现，手法高明。此外，Dexphot 还采用了一些技术来逐步重新安装自己，以确保能在电脑上停留足够长的时间，以挖掘虚拟货币。

但对于Dexphot在过去日子所能挖到的币种和数量，报导并无提及。