吃雞、蹭網、看片片……你的電腦可能正在被偷用來挖礦!通信
要說今年最火的病毒類別,應屬勒索病毒,連街上戴紅袖章的大媽都能跟你聊兩句“想哭”病毒。
要說今年最火的病毒類別,應屬勒索病毒,連街上戴紅袖章的大媽都能跟你聊兩句“想哭”病毒。
但要論賺錢能力,可能“悶聲發大財”的挖礦木馬更勝一籌,尤其在“炒幣”風暴來襲,比特幣、以太坊等數字貨幣價格屢創新高的2017年。
隨著不斷攀升的價格和日益減少的加密貨幣數量,各類挖礦木馬也層出不窮。
與那些自愿為礦池提供算力并獲取報酬的普通礦工不同,“挖礦木馬”是黑客在未授權的情況下向服務器惡意植入程序,并盜用了個人計算機的算力來獲取不義之財。
也許你從來都沒有擁有過數字貨幣,但就在你看“小片片”、玩游戲、喝咖啡的過程中,很有可能你電腦的 CPU 正在被黑客利用,偷偷為他挖礦賺取數額不等的數字貨幣。
上面這句話并非危言聳聽,請看記者對頻頻爆出的各種挖礦木馬的盤點,它真的就在你身邊,從未走遠~~~
1、上色情網站:掏空你的身體……還有CPU
以后看“小片片”要小心了,色站不只會掏空你的身體,還會掏空你的電腦!
2017 年 7 月,來自騰訊電腦管家的安全研究人員發現,有多個網站在其網頁內嵌了挖礦 JavaScript 腳本,用戶一旦進入此類網站,JS 腳本就會自動執行,占用大量的 CPU 資源以挖取門羅幣,使電腦出現卡頓。
到底是什么樣的網站會成為目標?
咳咳,愛看小說、愛打小游戲、愛看小片片的同學們注意了!
研究人員發現,內嵌 JS 挖礦的站點主要有色情視頻、小說、網頁游戲等類型,由于這類站點打開后往往會停留一段時間才出現界面,用戶可能不會懷疑是因為機器卡頓的原因,這也成為黑客利用色情網頁挖礦的原因之一。
該 JS 挖礦機是由 Coinhive(專門提供挖礦的 JS 引擎) 提供的一個服務,采用了 Cryptonight 挖礦算法挖門羅幣,而 Cryptonight 算法復雜、占用資源高,常被植入普通用戶機器,占用其CPU資源來挖礦。
諷刺的是,Coinhive 特別說明不要在不提示用戶的情況下使用該服務,因為用戶的利益比任何公司短期利益都要重要的多。然而實際情況是該服務已經被各個站點濫用,有媒體評價 Coinhive 為最受惡意軟件開發者喜歡的“門羅幣收割機”。
目前,門羅幣也成為黑客最喜歡挖的一類幣,據騰訊電腦管家安全專家分析,主要原因是因為比特幣挖礦難度太大,需要專業的礦機,而門羅幣挖掘難度相對較小,普通的PC電腦就可以挖掘。
2、“蹭網”當心被挖礦,甩鍋只服星巴克
在世界各地的星巴克里,我們經常能看到帶著筆記本“蹭網”辦公的白領們。
在2017年年末,黑客盯上了這些電腦配置還不錯的人,他們通過植入挖礦木馬,把筆記本變成了自己的礦機,瘋狂挖掘門羅幣。
最先發現該情況的是一位名為 Dinkin 的推特用戶,他對布宜諾斯艾利斯的星巴克喊話:喂,老兄,你家的公共 WiFi 被黑客挖礦了,延遲了10秒啊,快來看看哪~~~
但佛系商家星巴克卻很淡定,在事件曝光10天后,才終于做出了回應,而且回應的主要內容是甩鍋給 WiFi 提供商~~~
大意就是,已聯系了互聯網服務提供商,發現 WiFi 不是由星巴克運營的,所以這不是星巴克可以控制的東西。(言外之意,這事兒不怪本寶寶,我也很無奈啊~)上述情況只發生在個別門店,目前對此事已經進行了處理。(大家不要太擔心,該干嘛干嘛。)
可以說是一點認錯的態度都沒有~~~
不過,根據公布的腳本可以看出,黑客主要通過入侵 WIFI 提供商, 在 WIFI 連接頁面被植入挖礦代碼,導致用戶在連接 WIFI 時執行挖礦程序。Hackread.com(黑客研究網站)和Blockexplorer.com(比特幣挖礦網站)均表示,這確實是 Coinhive 代碼,專門負責幫黑客挖掘門羅幣。
3、披著“網賺”項目的外衣,干著惡意挖礦的勾當
最近很流行一個網賺項目,叫做“太極掛機”軟件,先看看它的宣傳語,可以說是很誘惑人心了。
大意就是你只需下載運行該軟件,剩下的,啥都不用做就可以輕松賺錢,就等著天下掉餡餅了!
其實號稱掛機軟件的網賺項目一直以來都有,但還是有很多人真的相信天下就是有免費的午餐。
據安全人員研究,所謂的掛機網賺只是木馬病毒的幌子。包括“太極掛機軟件”在內的多款類似惡意程序一旦被用戶下載并安裝,不但會大量占用CPU資源進行挖礦操作,還會在用戶機器上傳播 Ramnit 感染型木馬,更有甚者,直接給電腦添加上 MBR 密碼使用戶無法正常登錄系統!
話說,中大獎還得先買彩票呢?這種無投入就能賺錢的事,怎么能相信呢?
4、傍上僵尸網絡的挖礦木馬,我裸奔我怕誰
僵尸網絡和挖礦木馬這對病毒,可以說是很絕配了。
這哥倆搭伙,很像是可以干出一番“事業”的樣子。
騰訊電腦管家安全專家指出,僵尸網絡具有隱秘、數量大等特點,而挖礦木馬為了提升算力,需要更多的機器,僵尸網絡無疑是最佳選擇。
在挖礦木馬還沒有隱藏在普通軟件之前時,它還只是僵尸網絡一個新拓展的“業務”,能同時做到挖礦、DDoS兩不誤,這時的挖礦行為還處于“裸奔期”。
比如,2017 年 5 月發現的“Adylkuzz”僵尸網絡,它比“WannaCry”出現的時間還要早,威力也不小,影響了全球幾十萬臺機器。
不過有意思的是,“Adylkuzz”入侵成功后會利用“永恒之藍”漏洞阻止其他病毒也利用此類漏洞,安全專家認為這在一定程度上限制了“WannaCry”的傳播。
木馬入侵成功后,就會鏈接C&C服務器,接受挖礦指令,該木馬目前專門挖取門羅幣。
5、病毒能打組合拳,挖礦刷量兩不誤
病毒坑的可能不僅是PC 的個人電腦的CPU,還有可能坑金主爸爸。
在2017年11月,雷鋒網接到來自多個安全實驗室的消息,中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”,該病毒可隨時接收遠程指令,利用被感染電腦刷廣告流量和 “挖礦”(生產“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。
“天翼校園客戶端”安裝包運行后,后門病毒即被植入電腦。該病毒會訪問遠程C&C服務器存放的廣告配置文件,然后構造隱藏IE瀏覽器窗口執行暗刷流量,同時也會釋放門羅幣挖礦者病毒進行挖礦。
天翼校園客戶端安裝后,安裝目錄中會釋放 speedtest.dll 文件,speedtest.dll扮演病毒“母體”角色。執行下載、釋放其他病毒模塊,最終完成刷廣告流量和實現挖礦。
也就是說,這種挖礦病毒坑的不只一個個的 PC 使用者,還有很多在這些網站投廣告的金主爸爸。
通過監測發現,該病毒下載的廣告鏈接約400余個,由于廣告頁面被病毒隱藏,并沒有在用戶電腦端展示出來,這致使廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。
6、當心 KMS植入激活:各大搜索引擎都中招
Key Management Service(KMS)原本只是在Windows Vista之后的產品中,所提供的一種新型產品激活機制,目的是為了微軟能更好地遏制非法軟件授權行為。
但正是這個看起來“一身正氣”的激活工具,卻成為黑客傳播挖礦木馬的途徑之一。
2017年12月19日,雷鋒網接到火絨安全團隊的報告,當用戶從網站 kmspi.co下載激活工具KMS時,電腦將被植入挖礦病毒“Trojan/Miner”。該病毒入侵用戶電腦后,會利用電腦瘋狂“挖礦”,讓這些用戶電腦淪為他們牟取利益的“肉雞”。
安全人員發現,該網站在百度、谷歌、必應等多家搜索引擎中,搜索結果位置都極靠前。在百度搜索關鍵詞“KMSpico”時,帶毒網站赫然排在第二的位置上。
除了大量用戶通過搜索引擎進入帶毒網站,由于KMS極為流行,極有可能已經被網友分享到各大技術論壇,形成二次傳播。
7、吃雞開掛需謹慎,害人終害己
為了取得更好的戰績,很多游戲玩家都選擇使用外掛,尤其是爆火的《絕地求生》幾乎成了外掛的代名詞,很多玩家已沉浸在外掛殺人的快感中無法自拔。
來自騰訊電腦管家的安全專家告訴雷鋒網,想通過挖礦獲取更多的數字加密貨幣,只有提升算力一條途徑,提升算力就只能從機器數量及配置入手。而《絕地求生》吃雞游戲對用戶的 PC 配置要求比較高,這與挖礦木馬的需求相符,這類開掛玩家自然成為黑客盯上的目標。
這下,開掛帶來的惡果終于輪到自己吃了。
2018年1月4日,雷鋒網接到騰訊電腦管家的消息,稱其捕獲了一款名為“tlMiner”的 HSR 幣(紅燒肉幣)挖礦木馬,隱藏在游戲《絕地求生》的輔助程序中,根據網絡上的數據來看,僅僅在20日一天就有將近20萬臺電腦遭到病毒感染。
雖然感染此木馬挖礦后外掛依然可以繼續使用,但安全專家建議,曾經使用過外掛的朋友還是應該回家徹底查一次毒,因為此木馬導致用戶顯卡滿負荷工作,壽命將大幅縮減。
想不到吧,打倒外掛的,竟然是一款挖礦的木馬病毒。
8、瀏覽器插件也能挖礦,手動安裝需謹慎
2017年末,360安全衛士檢測發現,一款名為“百度網盤高速下載”的Chrome插件暗藏挖礦腳本,占用大約30%的CPU資源挖門羅幣。
據360稱,這是國內首次出現瀏覽器插件挖礦事件。
該惡意插件為第三方制作的非正規插件,它打著“不限速下載”的幌子,吸引網民關注,再加上添加安裝步驟十分簡單,目前流傳度較廣。安全人員提醒,需要手動添加安裝的插件,一般都不安全,用戶安裝插件一定要通過瀏覽器官方應用商店進行。
與可疑郵件或陌生網址等常見的木馬感染渠道相比,瀏覽器插件的安全性并沒有引起網民的足夠重視,再加上不法分子對某些功能的刻意渲染,很容易吸引網民中招。
2018,挖礦病毒還將放出哪些幺蛾子?如何防?
據來自騰訊電腦管家的安全專家預測,與早期的裸奔狀態不同,2018年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外,部分玩家對游戲輔助的“青睞”,或將促使不法分子將更多惡意程序植入到游戲輔助等常規軟件中。
對于普通的用戶,應從以下幾點來防止挖礦病毒木馬入侵。
1. 開啟系統自動更新,及時打補丁,防止被惡意木馬利用。
2. 機器卡慢時應立即查看CPU使用情況,若發現可疑進程可及時關閉。
3. 不瀏覽色情、輔助等被標記為不可信的網站。
4. 不使用輔助及來路不明的軟件,使用未知軟件前先用安全軟件進行安全掃描。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
