新的加密货币挖掘恶意软件在短短几个小时内感染了超过500000台电脑

配音加倍又称作烟雾装载机，该恶意软件被发现在受感染的Windows计算机上丢弃一个加密货币miner程序作为有效载荷，该程序为攻击者使用受害者的CPU挖掘另一种加密货币Electroneum硬币。

3月6日，Windows Defender突然检测到超过80000个Dofoil变体的实例，在微软Windows Defender研究部门引发了警报，在接下来的12小时内，记录了超过400000个实例。
研究团队发现，所有这些迅速蔓延到俄罗斯、土耳其和乌克兰的实例都携带了一个数字硬币挖掘有效载荷，伪装成合法的Windows二进制文件以逃避检测。

然而，微软并没有提到这些实例是如何在这么短的时间内首先交付给如此庞大的受众的。

Dofoil使用一个定制的挖掘应用程序，可以挖掘不同的加密货币，但在这次活动中，该恶意软件被编程为只挖掘电子货币。

据研究人员称，Dofoil特洛伊木马使用了一种名为“进程空洞化”的旧代码注入技术，该技术涉及用恶意进程生成合法进程的新实例，以便运行第二个代码而不是原始代码，欺骗流程监控工具和防病毒软件，使其相信原始流程正在运行。

“然后，被掏空的explorer.exe进程会启动第二个恶意实例，该实例会删除并运行伪装成合法Windows二进制文件wuauclt.exe的硬币挖掘恶意软件”。

为了在受感染的系统上长时间保持持久性，以便使用被盗的计算机资源挖掘电子货币，Dofoil特洛伊木马会修改Windows注册表。

研究人员说：“镂空的explorer.exe进程在漫游AppData文件夹中创建了原始恶意软件的副本，并将其重命名为ditereah.exe”。“然后，它会创建一个注册表项或修改现有注册表项，以指向新创建的恶意软件副本。在我们分析的示例中，恶意软件修改了OneDrive运行项”。

Dofoil还连接到一个远程命令和控制（C&C）服务器，该服务器托管在分散的Namecoin网络基础设施上，并监听新命令，包括安装其他恶意软件。

微软表示，Windows Defender Antivirus使用的行为监控和基于人工智能的机器学习技术在检测和阻止这场大规模恶意软件活动中发挥了重要作用。