TMT观察网_独特视角观察TMT行业

要說(shuō)今年最火的病毒類別，應(yīng)屬勒索病毒，連街上戴紅袖章的大媽都能跟你聊兩句“想哭”病毒。

但要論賺錢能力，可能“悶聲發(fā)大財(cái)”的挖礦木馬更勝一籌，尤其在“炒幣”風(fēng)暴來(lái)襲，比特幣、以太坊等數(shù)字貨幣價(jià)格屢創(chuàng)新高的2017年。

隨著不斷攀升的價(jià)格和日益減少的加密貨幣數(shù)量，各類挖礦木馬也層出不窮。

與那些自愿為礦池提供算力并獲取報(bào)酬的普通礦工不同，“挖礦木馬”是黑客在未授權(quán)的情況下向服務(wù)器惡意植入程序，并盜用了個(gè)人計(jì)算機(jī)的算力來(lái)獲取不義之財(cái)。

也許你從來(lái)都沒(méi)有擁有過(guò)數(shù)字貨幣，但就在你看“小片片”、玩游戲、喝咖啡的過(guò)程中，很有可能你電腦的 CPU 正在被黑客利用，偷偷為他挖礦賺取數(shù)額不等的數(shù)字貨幣。

上面這句話并非危言聳聽(tīng)，請(qǐng)看記者對(duì)頻頻爆出的各種挖礦木馬的盤點(diǎn)，它真的就在你身邊，從未走遠(yuǎn)~~~

1、上色情網(wǎng)站：掏空你的身體……還有CPU

以后看“小片片”要小心了，色站不只會(huì)掏空你的身體，還會(huì)掏空你的電腦！

2017 年 7 月，來(lái)自騰訊電腦管家的安全研究人員發(fā)現(xiàn)，有多個(gè)網(wǎng)站在其網(wǎng)頁(yè)內(nèi)嵌了挖礦 JavaScript 腳本，用戶一旦進(jìn)入此類網(wǎng)站，JS 腳本就會(huì)自動(dòng)執(zhí)行，占用大量的 CPU 資源以挖取門羅幣，使電腦出現(xiàn)卡頓。

到底是什么樣的網(wǎng)站會(huì)成為目標(biāo)？

咳咳，愛(ài)看小說(shuō)、愛(ài)打小游戲、愛(ài)看小片片的同學(xué)們注意了！

研究人員發(fā)現(xiàn)，內(nèi)嵌 JS 挖礦的站點(diǎn)主要有色情視頻、小說(shuō)、網(wǎng)頁(yè)游戲等類型，由于這類站點(diǎn)打開(kāi)后往往會(huì)停留一段時(shí)間才出現(xiàn)界面，用戶可能不會(huì)懷疑是因?yàn)闄C(jī)器卡頓的原因，這也成為黑客利用色情網(wǎng)頁(yè)挖礦的原因之一。

該 JS 挖礦機(jī)是由 Coinhive（專門提供挖礦的 JS 引擎） 提供的一個(gè)服務(wù)，采用了 Cryptonight 挖礦算法挖門羅幣，而 Cryptonight 算法復(fù)雜、占用資源高，常被植入普通用戶機(jī)器，占用其CPU資源來(lái)挖礦。

諷刺的是，Coinhive 特別說(shuō)明不要在不提示用戶的情況下使用該服務(wù)，因?yàn)橛脩舻睦姹热魏喂径唐诶娑家匾亩?。然而?shí)際情況是該服務(wù)已經(jīng)被各個(gè)站點(diǎn)濫用，有媒體評(píng)價(jià) Coinhive 為最受惡意軟件開(kāi)發(fā)者喜歡的“門羅幣收割機(jī)”。

目前，門羅幣也成為黑客最喜歡挖的一類幣，據(jù)騰訊電腦管家安全專家分析，主要原因是因?yàn)楸忍貛磐诘V難度太大，需要專業(yè)的礦機(jī)，而門羅幣挖掘難度相對(duì)較小，普通的PC電腦就可以挖掘。

2、“蹭網(wǎng)”當(dāng)心被挖礦，甩鍋只服星巴克

在世界各地的星巴克里，我們經(jīng)常能看到帶著筆記本“蹭網(wǎng)”辦公的白領(lǐng)們。

在2017年年末，黑客盯上了這些電腦配置還不錯(cuò)的人，他們通過(guò)植入挖礦木馬，把筆記本變成了自己的礦機(jī)，瘋狂挖掘門羅幣。

最先發(fā)現(xiàn)該情況的是一位名為 Dinkin 的推特用戶，他對(duì)布宜諾斯艾利斯的星巴克喊話：喂，老兄，你家的公共 WiFi 被黑客挖礦了，延遲了10秒啊，快來(lái)看看哪~~~

但佛系商家星巴克卻很淡定，在事件曝光10天后，才終于做出了回應(yīng)，而且回應(yīng)的主要內(nèi)容是甩鍋給 WiFi 提供商~~~

大意就是，已聯(lián)系了互聯(lián)網(wǎng)服務(wù)提供商，發(fā)現(xiàn) WiFi 不是由星巴克運(yùn)營(yíng)的，所以這不是星巴克可以控制的東西。（言外之意，這事兒不怪本寶寶，我也很無(wú)奈啊~）上述情況只發(fā)生在個(gè)別門店，目前對(duì)此事已經(jīng)進(jìn)行了處理。（大家不要太擔(dān)心，該干嘛干嘛。）

可以說(shuō)是一點(diǎn)認(rèn)錯(cuò)的態(tài)度都沒(méi)有~~~

不過(guò)，根據(jù)公布的腳本可以看出，黑客主要通過(guò)入侵 WIFI 提供商， 在 WIFI 連接頁(yè)面被植入挖礦代碼，導(dǎo)致用戶在連接 WIFI 時(shí)執(zhí)行挖礦程序。Hackread.com（黑客研究網(wǎng)站）和Blockexplorer.com（比特幣挖礦網(wǎng)站）均表示，這確實(shí)是 Coinhive 代碼，專門負(fù)責(zé)幫黑客挖掘門羅幣。

3、披著“網(wǎng)賺”項(xiàng)目的外衣，干著惡意挖礦的勾當(dāng)

最近很流行一個(gè)網(wǎng)賺項(xiàng)目，叫做“太極掛機(jī)”軟件，先看看它的宣傳語(yǔ)，可以說(shuō)是很誘惑人心了。

大意就是你只需下載運(yùn)行該軟件，剩下的，啥都不用做就可以輕松賺錢，就等著天下掉餡餅了！

其實(shí)號(hào)稱掛機(jī)軟件的網(wǎng)賺項(xiàng)目一直以來(lái)都有，但還是有很多人真的相信天下就是有免費(fèi)的午餐。

據(jù)安全人員研究，所謂的掛機(jī)網(wǎng)賺只是木馬病毒的幌子。包括“太極掛機(jī)軟件”在內(nèi)的多款類似惡意程序一旦被用戶下載并安裝，不但會(huì)大量占用CPU資源進(jìn)行挖礦操作，還會(huì)在用戶機(jī)器上傳播 Ramnit 感染型木馬，更有甚者，直接給電腦添加上 MBR 密碼使用戶無(wú)法正常登錄系統(tǒng)！

話說(shuō)，中大獎(jiǎng)還得先買彩票呢？這種無(wú)投入就能賺錢的事，怎么能相信呢？

4、傍上僵尸網(wǎng)絡(luò)的挖礦木馬，我裸奔我怕誰(shuí)

僵尸網(wǎng)絡(luò)和挖礦木馬這對(duì)病毒，可以說(shuō)是很絕配了。

這哥倆搭伙，很像是可以干出一番“事業(yè)”的樣子。

騰訊電腦管家安全專家指出，僵尸網(wǎng)絡(luò)具有隱秘、數(shù)量大等特點(diǎn)，而挖礦木馬為了提升算力，需要更多的機(jī)器，僵尸網(wǎng)絡(luò)無(wú)疑是最佳選擇。

在挖礦木馬還沒(méi)有隱藏在普通軟件之前時(shí)，它還只是僵尸網(wǎng)絡(luò)一個(gè)新拓展的“業(yè)務(wù)”，能同時(shí)做到挖礦、DDoS兩不誤，這時(shí)的挖礦行為還處于“裸奔期”。

比如，2017 年 5 月發(fā)現(xiàn)的“Adylkuzz”僵尸網(wǎng)絡(luò)，它比“WannaCry”出現(xiàn)的時(shí)間還要早，威力也不小，影響了全球幾十萬(wàn)臺(tái)機(jī)器。

不過(guò)有意思的是，“Adylkuzz”入侵成功后會(huì)利用“永恒之藍(lán)”漏洞阻止其他病毒也利用此類漏洞，安全專家認(rèn)為這在一定程度上限制了“WannaCry”的傳播。

木馬入侵成功后，就會(huì)鏈接C&C服務(wù)器，接受挖礦指令，該木馬目前專門挖取門羅幣。

5、病毒能打組合拳，挖礦刷量?jī)刹徽`

病毒坑的可能不僅是PC 的個(gè)人電腦的CPU，還有可能坑金主爸爸。

在2017年11月，雷鋒網(wǎng)接到來(lái)自多個(gè)安全實(shí)驗(yàn)室的消息，中國(guó)電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”，該病毒可隨時(shí)接收遠(yuǎn)程指令，利用被感染電腦刷廣告流量和 “挖礦”（生產(chǎn)“門羅幣”），讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

“天翼校園客戶端”安裝包運(yùn)行后，后門病毒即被植入電腦。該病毒會(huì)訪問(wèn)遠(yuǎn)程C&C服務(wù)器存放的廣告配置文件，然后構(gòu)造隱藏IE瀏覽器窗口執(zhí)行暗刷流量，同時(shí)也會(huì)釋放門羅幣挖礦者病毒進(jìn)行挖礦。

天翼校園客戶端安裝后，安裝目錄中會(huì)釋放 speedtest.dll 文件，speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊，最終完成刷廣告流量和實(shí)現(xiàn)挖礦。

也就是說(shuō)，這種挖礦病毒坑的不只一個(gè)個(gè)的 PC 使用者，還有很多在這些網(wǎng)站投廣告的金主爸爸。

通過(guò)監(jiān)測(cè)發(fā)現(xiàn)，該病毒下載的廣告鏈接約400余個(gè)，由于廣告頁(yè)面被病毒隱藏，并沒(méi)有在用戶電腦端展示出來(lái)，這致使廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。

6、當(dāng)心 KMS植入激活：各大搜索引擎都中招

Key Management Service（KMS）原本只是在Windows Vista之后的產(chǎn)品中，所提供的一種新型產(chǎn)品激活機(jī)制，目的是為了微軟能更好地遏制非法軟件授權(quán)行為。

但正是這個(gè)看起來(lái)“一身正氣”的激活工具，卻成為黑客傳播挖礦木馬的途徑之一。

2017年12月19日，雷鋒網(wǎng)接到火絨安全團(tuán)隊(duì)的報(bào)告，當(dāng)用戶從網(wǎng)站 kmspi.co下載激活工具KMS時(shí)，電腦將被植入挖礦病毒“Trojan/Miner”。該病毒入侵用戶電腦后，會(huì)利用電腦瘋狂“挖礦”，讓這些用戶電腦淪為他們牟取利益的“肉雞”。

安全人員發(fā)現(xiàn)，該網(wǎng)站在百度、谷歌、必應(yīng)等多家搜索引擎中，搜索結(jié)果位置都極靠前。在百度搜索關(guān)鍵詞“KMSpico”時(shí)，帶毒網(wǎng)站赫然排在第二的位置上。

除了大量用戶通過(guò)搜索引擎進(jìn)入帶毒網(wǎng)站，由于KMS極為流行，極有可能已經(jīng)被網(wǎng)友分享到各大技術(shù)論壇，形成二次傳播。

7、吃雞開(kāi)掛需謹(jǐn)慎，害人終害己

為了取得更好的戰(zhàn)績(jī)，很多游戲玩家都選擇使用外掛，尤其是爆火的《絕地求生》幾乎成了外掛的代名詞，很多玩家已沉浸在外掛殺人的快感中無(wú)法自拔。

來(lái)自騰訊電腦管家的安全專家告訴雷鋒網(wǎng)，想通過(guò)挖礦獲取更多的數(shù)字加密貨幣，只有提升算力一條途徑，提升算力就只能從機(jī)器數(shù)量及配置入手。而《絕地求生》吃雞游戲?qū)τ脩舻?PC 配置要求比較高，這與挖礦木馬的需求相符，這類開(kāi)掛玩家自然成為黑客盯上的目標(biāo)。

這下，開(kāi)掛帶來(lái)的惡果終于輪到自己吃了。

2018年1月4日，雷鋒網(wǎng)接到騰訊電腦管家的消息，稱其捕獲了一款名為“tlMiner”的 HSR 幣（紅燒肉幣）挖礦木馬，隱藏在游戲《絕地求生》的輔助程序中，根據(jù)網(wǎng)絡(luò)上的數(shù)據(jù)來(lái)看，僅僅在20日一天就有將近20萬(wàn)臺(tái)電腦遭到病毒感染。

雖然感染此木馬挖礦后外掛依然可以繼續(xù)使用，但安全專家建議，曾經(jīng)使用過(guò)外掛的朋友還是應(yīng)該回家徹底查一次毒，因?yàn)榇四抉R導(dǎo)致用戶顯卡滿負(fù)荷工作，壽命將大幅縮減。

想不到吧，打倒外掛的，竟然是一款挖礦的木馬病毒。

8、瀏覽器插件也能挖礦，手動(dòng)安裝需謹(jǐn)慎

2017年末，360安全衛(wèi)士檢測(cè)發(fā)現(xiàn)，一款名為“百度網(wǎng)盤高速下載”的Chrome插件暗藏挖礦腳本，占用大約30%的CPU資源挖門羅幣。

據(jù)360稱，這是國(guó)內(nèi)首次出現(xiàn)瀏覽器插件挖礦事件。

該惡意插件為第三方制作的非正規(guī)插件，它打著“不限速下載”的幌子，吸引網(wǎng)民關(guān)注，再加上添加安裝步驟十分簡(jiǎn)單，目前流傳度較廣。安全人員提醒，需要手動(dòng)添加安裝的插件，一般都不安全，用戶安裝插件一定要通過(guò)瀏覽器官方應(yīng)用商店進(jìn)行。

與可疑郵件或陌生網(wǎng)址等常見(jiàn)的木馬感染渠道相比，瀏覽器插件的安全性并沒(méi)有引起網(wǎng)民的足夠重視，再加上不法分子對(duì)某些功能的刻意渲染，很容易吸引網(wǎng)民中招。

2018，挖礦病毒還將放出哪些幺蛾子？如何防？

據(jù)來(lái)自騰訊電腦管家的安全專家預(yù)測(cè)，與早期的裸奔狀態(tài)不同，2018年或?qū)?huì)有越來(lái)越多的挖礦腳本隱藏在各類網(wǎng)站進(jìn)行挖礦。此外，部分玩家對(duì)游戲輔助的“青睞”，或?qū)⒋偈共环ǚ肿訉⒏鄲阂獬绦蛑踩氲接螒蜉o助等常規(guī)軟件中。

對(duì)于普通的用戶，應(yīng)從以下幾點(diǎn)來(lái)防止挖礦病毒木馬入侵。
1. 開(kāi)啟系統(tǒng)自動(dòng)更新，及時(shí)打補(bǔ)丁，防止被惡意木馬利用。
2. 機(jī)器卡慢時(shí)應(yīng)立即查看CPU使用情況，若發(fā)現(xiàn)可疑進(jìn)程可及時(shí)關(guān)閉。
3. 不瀏覽色情、輔助等被標(biāo)記為不可信的網(wǎng)站。
4. 不使用輔助及來(lái)路不明的軟件，使用未知軟件前先用安全軟件進(jìn)行安全掃描。