微软已经发布了一篇博客文章，详细介绍了它的Windows Defender（Windows 7,8.1和10）在几天前阻止了“大规模”Dofoil加密货币挖掘活动。 Windows Defender利用基于行为的信号和机器学习模型来检测和拦截近80,000个高级木马实例。该公司声称这些木马是Dofoil的一个变体，并伴随着一个矿机的有效载荷。

第一次侦测之后，在接下来的12小时内，又有40万次袭击事件发生，其中73%位于俄罗斯，18%位于土耳其，乌克兰4%。由于目前对加密货币的需求，Dofoil恶意软件家族被认为是特别危险的，因为攻击者有机会在其代码中包含加密货币挖掘组件。 Windows Defender检测到的加密货币挖掘活动在explorer.exe上使用了代码注入技术，通过分发合法进程的新实例并用恶意软件替换其代码。

这个受感染的进程会产生另一个执行硬币挖掘有效载荷的实例。在通常情况下，用户可能很难检测到这种情况，因为恶意进程是一个合法的Windows二进制文件，但是运行的位置不正确。

为了保持隐藏，Dofoil会修改注册表。挖空的explorer.exe进程在漫游AppData文件夹中创建原始恶意软件的副本，并将其重命名为ditereah.exe。然后，它会创建一个注册表项或修改现有注册表项以指向新创建的恶意软件副本。

尽管 微软 声称，运行Windows 7,8.1和10的客户受到Windows Defender AV或Microsoft Security Essentials的保护，但它建议用户升级到最新的操作系统，即Windows 10。实际上，该公司也鼓励客户利用Windows 10 S来保护自己免受这些威胁。