要說今年最火的病毒類別, 應屬勒索病毒, 連街上戴紅袖章的大媽都能跟你聊兩句“想哭”病毒。
但要論賺錢能力, 可能“悶聲發大財”的挖礦木馬更勝一籌, 尤其在“炒幣”風暴來襲, 比特幣、乙太坊等數位貨幣價格屢創新高的2017年。
隨著不斷攀升的價格和日益減少的加密貨幣數量, 各類挖礦木馬也層出不窮。
與那些自願為礦池提供算力並獲取報酬的普通礦工不同, “挖礦木馬”是駭客在未授權的情況下向伺服器惡意植入程式, 並盜用了個人電腦的算力來獲取不義之財。
也許你從來都沒有擁有過數位貨幣,
上面這句話並非雷鋒網危言聳聽, 不信, 請看雷鋒網對頻頻爆出的各種挖礦木馬的盤點, 它真的就在你身邊, 從未走遠~~~
1、上色情網站:掏空你的身體……還有CPU
以後看“小片片”要小心了, 色站不只會掏空你的身體, 還會掏空你的電腦!
2017 年 7 月, 來自騰訊電腦管家的安全研究人員發現, 有多個網站在其網頁內嵌了挖礦 JavaScript 腳本, 用戶一旦進入此類網站, JS 腳本就會自動執行, 佔用大量的 CPU 資源以挖取門羅幣, 使電腦出現卡頓。
到底是什麼樣的網站會成為目標?
咳咳, 愛看小說、愛打小遊戲、愛看小片片的同學們注意了!
研究人員發現, 內嵌 JS 挖礦的網站主要有色情視頻、小說、網頁遊戲等類型, 由於這類網站打開後往往會停留一段時間才出現介面, 使用者可能不會懷疑是因為機器卡頓的原因, 這也成為駭客利用色情網頁挖礦的原因之一。
該 JS 挖礦機是由 Coinhive(專門提供挖礦的 JS 引擎) 提供的一個服務,
諷刺的是, Coinhive 特別說明不要在不提示使用者的情況下使用該服務, 因為使用者的利益比任何公司短期利益都要重要的多。 然而實際情況是該服務已經被各個網站濫用, 有媒體評價 Coinhive 為最受惡意軟體發展者喜歡的“門羅幣收割機”。
目前, 門羅幣也成為駭客最喜歡挖的一類幣, 據騰訊電腦管家安全專家分析, 主要原因是因為比特幣挖礦難度太大, 需要專業的礦機, 而門羅幣挖掘難度相對較小, 普通的PC電腦就可以挖掘。
2、“蹭網”當心被挖礦, 甩鍋只服星巴克
在世界各地的星巴克裡, 我們經常能看到帶著筆記本“蹭網”辦公的白領們。
在2017年年末, 駭客盯上了這些電腦配置還不錯的人, 他們通過植入挖礦木馬, 把筆記本變成了自己的礦機, 瘋狂挖掘門羅幣。
最先發現該情況的是一位元名為 Dinkin 的推特用戶, 他對布宜諾賽勒斯的星巴克喊話:喂, 老兄, 你家的公共 WiFi 被駭客挖礦了, 延遲了10秒啊, 快來看看哪~~~
但佛系商家星巴克卻很淡定, 在事件曝光10天后, 才終於做出了回應, 而且回應的主要內容是甩鍋給 WiFi 提供商~~~
大意就是, 已聯繫了互聯網服務提供者, 發現 WiFi 不是由星巴克運營的, 所以這不是星巴克可以控制的東西。 (言外之意,這事兒不怪本寶寶,我也很無奈啊~)上述情況只發生在個別門店,目前對此事已經進行了處理。(大家不要太擔心,該幹嘛幹嘛。)
可以說是一點認錯的態度都沒有~~~
不過,根據公佈的腳本可以看出,駭客主要通過入侵 WIFI 提供商, 在 WIFI 連接頁面被植入挖礦代碼,導致用戶在連接 WIFI 時執行挖礦程式。Hackread.com(駭客研究網站)和Blockexplorer.com(比特幣挖礦網站)均表示,這確實是 Coinhive 代碼,專門負責幫駭客挖掘門羅幣。
3、披著“網賺”項目的外衣,幹著惡意挖礦的勾當
最近很流行一個網賺項目,叫做“太極掛機”軟體,先看看它的宣傳語,可以說是很誘惑人心了。
大意就是你只需下載運行該軟體,剩下的,啥都不用做就可以輕鬆賺錢,就等著天下掉餡餅了!
其實號稱掛機軟體的網賺專案一直以來都有,但還是有很多人真的相信天下就是有免費的午餐。
據安全人員研究,所謂的掛機網賺只是木馬病毒的幌子。包括“太極掛機軟體”在內的多款類似惡意程式一旦被使用者下載並安裝,不但會大量佔用CPU資源進行挖礦操作,還會在用戶機器上傳播 Ramnit 感染型木馬,更有甚者,直接給電腦添加上 MBR 密碼使使用者無法正常登錄系統!
話說,中大獎還得先買彩票呢?這種無投入就能賺錢的事,怎麼能相信呢?
4、傍上僵屍網路的挖礦木馬,我裸奔我怕誰
僵屍網路和挖礦木馬這對病毒,可以說是很絕配了。
這哥倆搭夥,很像是可以幹出一番“事業”的樣子。
騰訊電腦管家安全專家指出,僵屍網路具有隱秘、數量大等特點,而挖礦木馬為了提升算力,需要更多的機器,僵屍網路無疑是最佳選擇。
在挖礦木馬還沒有隱藏在普通軟體之前時,它還只是僵屍網路一個新拓展的“業務”,能同時做到挖礦、DDoS兩不誤,這時的挖礦行為還處於“裸奔期”。
比如,2017 年 5 月發現的“Adylkuzz”僵屍網路,它比“WannaCry”出現的時間還要早,威力也不小,影響了全球幾十萬台機器。
不過有意思的是,“Adylkuzz”入侵成功後會利用“永恆之藍”漏洞阻止其他病毒也利用此類漏洞,安全專家認為這在一定程度上限制了“WannaCry”的傳播。
“WannaCry”及“Adylkuzz”都會利用windows SMB遠端提漏洞,“Adylkuzz”入侵到用戶機器後,會阻止SMB通信,這樣就阻止了“WannaCry”傳播。
木馬入侵成功後,就會連結C&C伺服器,接受挖礦指令,該木馬目前專門挖取門羅幣。
5、病毒能打組合拳,挖礦刷量兩不誤
病毒坑的可能不僅是PC 的個人電腦的CPU,還有可能坑金主爸爸。
在2017年11月,雷鋒網接到來自多個安全實驗室的消息,中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的“天翼校園用戶端”攜帶後門病毒“Backdoor/Modloader”,該病毒可隨時接收遠端指令,利用被感染電腦刷廣告流量和 “挖礦”(生產“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。
“天翼校園用戶端”安裝包運行後,後門病毒即被植入電腦。該病毒會訪問遠端C&C伺服器存放的廣告設定檔,然後構造隱藏IE流覽器視窗執行暗刷流量,同時也會釋放門羅幣挖礦者病毒進行挖礦。
天翼校園用戶端安裝後,安裝目錄中會釋放 speedtest.dll 文件,speedtest.dll扮演病毒“母體”角色。執行下載、釋放其他病毒模組,最終完成刷廣告流量和實現挖礦。
也就是說,這種挖礦病毒坑的不只一個個的 PC 使用者,還有很多在這些網站投廣告的金主爸爸。
通過監測發現,該病毒下載的廣告連結約400餘個,由於廣告頁面被病毒隱藏,並沒有在使用者電腦端展示出來,這致使廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。
6、當心 KMS 植入啟動:各大搜尋引擎都中招
Key Management Service(KMS)原本只是在Windows Vista之後的產品中,所提供的一種新型產品啟動機制,目的是為了微軟能更好地遏制非法軟體授權行為。
但正是這個看起來“一身正氣”的啟動工具,卻成為駭客傳播挖礦木馬的途徑之一。
2017年12月19日,雷鋒網接到火絨安全團隊的報告,當用戶從網站 kmspi.co下載啟動工具KMS時,電腦將被植入挖礦病毒“Trojan/Miner”。該病毒入侵使用者電腦後,會利用電腦瘋狂“挖礦”,讓這些用戶電腦淪為他們牟取利益的“肉雞”。
安全人員發現,該網站在百度、穀歌、必應等多家搜尋引擎中,搜索結果位置都極靠前。在百度搜索關鍵字“KMSpico”時,帶毒網站赫然排在第二的位置上。
除了大量用戶通過搜尋引擎進入帶毒網站,由於KMS極為流行,極有可能已經被網友各大技術論壇,形成二次傳播。
7、吃雞開掛需謹慎,害人終害己
為了取得更好的戰績,很多遊戲玩家都選擇使用外掛,尤其是爆火的《絕地求生》幾乎成了外掛的代名詞,很多玩家已沉浸在外掛殺人的快感中無法自拔。
來自騰訊電腦管家的安全專家告訴雷鋒網,想通過挖礦獲取更多的數位加密貨幣,只有提升算力一條途徑,提升算力就只能從機器數量及配置入手。而《絕地求生》吃雞遊戲對使用者的 PC 配置要求比較高,這與挖礦木馬的需求相符,這類開掛玩家自然成為駭客盯上的目標。
這下,開掛帶來的惡果終於輪到自己吃了。
2018年1月4日,雷鋒網接到騰訊電腦管家的消息,稱其捕獲了一款名為“tlMiner”的 HSR 幣(紅燒肉幣)挖礦木馬,隱藏在遊戲《絕地求生》的輔助程式中,根據網路上的資料來看,僅僅在20日一天就有將近20萬台電腦遭到病毒感染。
雖然感染此木馬挖礦後外掛依然可以繼續使用,但安全專家建議,曾經使用過外掛的朋友還是應該回家徹底查一次毒,因為此木馬導致使用者顯卡滿負荷工作,壽命將大幅縮減。
想不到吧,打倒外掛的,竟然是一款挖礦的木馬病毒。
8、流覽器外掛程式也能挖礦,手動安裝需謹慎
2017年末,360安全衛士檢測發現,一款名為“百度網盤高速下載”的Chrome外掛程式暗藏挖礦腳本,佔用大約30%的CPU資源挖門羅幣。
據360稱,這是國內首次出現流覽器外掛程式挖礦事件。
該惡意外掛程式為協力廠商製作的非正規外掛程式,它打著“不限速下載”的幌子,吸引線民關注,再加上添加安裝步驟十分簡單,目前流傳度較廣。安全人員提醒,需要手動添加安裝的外掛程式,一般都不安全,用戶安裝外掛程式一定要通過流覽器官方應用商店進行。
與可疑郵件或陌生網址等常見的木馬感染管道相比,流覽器外掛程式的安全性並沒有引起線民的足夠重視,再加上不法分子對某些功能的刻意渲染,很容易吸引線民中招。
2018,挖礦病毒還將放出哪些么蛾子?如何防?
據來自騰訊電腦管家的安全專家預測,與早期的裸奔狀態不同,2018年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外,部分玩家對遊戲輔助的“青睞”,或將促使不法分子將更多惡意程式植入到遊戲輔助等常規軟體中。
對於普通的用戶,應從以下幾點來防止挖礦病毒木馬入侵。
1. 開啟系統自動更新,及時打補丁,防止被惡意木馬利用。
2. 機器卡慢時應立即查看CPU使用情況,若發現可疑進程可及時關閉。
3. 不流覽色情、輔助等被標記為不可信的網站。
4. 不使用輔助及來路不明的軟體,使用未知軟體前先用安全軟體進行安全掃描。
歡迎關注宅客頻道,聽我們講述駭客背後的故事。
(言外之意,這事兒不怪本寶寶,我也很無奈啊~)上述情況只發生在個別門店,目前對此事已經進行了處理。(大家不要太擔心,該幹嘛幹嘛。)可以說是一點認錯的態度都沒有~~~
不過,根據公佈的腳本可以看出,駭客主要通過入侵 WIFI 提供商, 在 WIFI 連接頁面被植入挖礦代碼,導致用戶在連接 WIFI 時執行挖礦程式。Hackread.com(駭客研究網站)和Blockexplorer.com(比特幣挖礦網站)均表示,這確實是 Coinhive 代碼,專門負責幫駭客挖掘門羅幣。
3、披著“網賺”項目的外衣,幹著惡意挖礦的勾當
最近很流行一個網賺項目,叫做“太極掛機”軟體,先看看它的宣傳語,可以說是很誘惑人心了。
大意就是你只需下載運行該軟體,剩下的,啥都不用做就可以輕鬆賺錢,就等著天下掉餡餅了!
其實號稱掛機軟體的網賺專案一直以來都有,但還是有很多人真的相信天下就是有免費的午餐。
據安全人員研究,所謂的掛機網賺只是木馬病毒的幌子。包括“太極掛機軟體”在內的多款類似惡意程式一旦被使用者下載並安裝,不但會大量佔用CPU資源進行挖礦操作,還會在用戶機器上傳播 Ramnit 感染型木馬,更有甚者,直接給電腦添加上 MBR 密碼使使用者無法正常登錄系統!
話說,中大獎還得先買彩票呢?這種無投入就能賺錢的事,怎麼能相信呢?
4、傍上僵屍網路的挖礦木馬,我裸奔我怕誰
僵屍網路和挖礦木馬這對病毒,可以說是很絕配了。
這哥倆搭夥,很像是可以幹出一番“事業”的樣子。
騰訊電腦管家安全專家指出,僵屍網路具有隱秘、數量大等特點,而挖礦木馬為了提升算力,需要更多的機器,僵屍網路無疑是最佳選擇。
在挖礦木馬還沒有隱藏在普通軟體之前時,它還只是僵屍網路一個新拓展的“業務”,能同時做到挖礦、DDoS兩不誤,這時的挖礦行為還處於“裸奔期”。
比如,2017 年 5 月發現的“Adylkuzz”僵屍網路,它比“WannaCry”出現的時間還要早,威力也不小,影響了全球幾十萬台機器。
不過有意思的是,“Adylkuzz”入侵成功後會利用“永恆之藍”漏洞阻止其他病毒也利用此類漏洞,安全專家認為這在一定程度上限制了“WannaCry”的傳播。
“WannaCry”及“Adylkuzz”都會利用windows SMB遠端提漏洞,“Adylkuzz”入侵到用戶機器後,會阻止SMB通信,這樣就阻止了“WannaCry”傳播。
木馬入侵成功後,就會連結C&C伺服器,接受挖礦指令,該木馬目前專門挖取門羅幣。
5、病毒能打組合拳,挖礦刷量兩不誤
病毒坑的可能不僅是PC 的個人電腦的CPU,還有可能坑金主爸爸。
在2017年11月,雷鋒網接到來自多個安全實驗室的消息,中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的“天翼校園用戶端”攜帶後門病毒“Backdoor/Modloader”,該病毒可隨時接收遠端指令,利用被感染電腦刷廣告流量和 “挖礦”(生產“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。
“天翼校園用戶端”安裝包運行後,後門病毒即被植入電腦。該病毒會訪問遠端C&C伺服器存放的廣告設定檔,然後構造隱藏IE流覽器視窗執行暗刷流量,同時也會釋放門羅幣挖礦者病毒進行挖礦。
天翼校園用戶端安裝後,安裝目錄中會釋放 speedtest.dll 文件,speedtest.dll扮演病毒“母體”角色。執行下載、釋放其他病毒模組,最終完成刷廣告流量和實現挖礦。
也就是說,這種挖礦病毒坑的不只一個個的 PC 使用者,還有很多在這些網站投廣告的金主爸爸。
通過監測發現,該病毒下載的廣告連結約400餘個,由於廣告頁面被病毒隱藏,並沒有在使用者電腦端展示出來,這致使廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。
6、當心 KMS 植入啟動:各大搜尋引擎都中招
Key Management Service(KMS)原本只是在Windows Vista之後的產品中,所提供的一種新型產品啟動機制,目的是為了微軟能更好地遏制非法軟體授權行為。
但正是這個看起來“一身正氣”的啟動工具,卻成為駭客傳播挖礦木馬的途徑之一。
2017年12月19日,雷鋒網接到火絨安全團隊的報告,當用戶從網站 kmspi.co下載啟動工具KMS時,電腦將被植入挖礦病毒“Trojan/Miner”。該病毒入侵使用者電腦後,會利用電腦瘋狂“挖礦”,讓這些用戶電腦淪為他們牟取利益的“肉雞”。
安全人員發現,該網站在百度、穀歌、必應等多家搜尋引擎中,搜索結果位置都極靠前。在百度搜索關鍵字“KMSpico”時,帶毒網站赫然排在第二的位置上。
除了大量用戶通過搜尋引擎進入帶毒網站,由於KMS極為流行,極有可能已經被網友各大技術論壇,形成二次傳播。
7、吃雞開掛需謹慎,害人終害己
為了取得更好的戰績,很多遊戲玩家都選擇使用外掛,尤其是爆火的《絕地求生》幾乎成了外掛的代名詞,很多玩家已沉浸在外掛殺人的快感中無法自拔。
來自騰訊電腦管家的安全專家告訴雷鋒網,想通過挖礦獲取更多的數位加密貨幣,只有提升算力一條途徑,提升算力就只能從機器數量及配置入手。而《絕地求生》吃雞遊戲對使用者的 PC 配置要求比較高,這與挖礦木馬的需求相符,這類開掛玩家自然成為駭客盯上的目標。
這下,開掛帶來的惡果終於輪到自己吃了。
2018年1月4日,雷鋒網接到騰訊電腦管家的消息,稱其捕獲了一款名為“tlMiner”的 HSR 幣(紅燒肉幣)挖礦木馬,隱藏在遊戲《絕地求生》的輔助程式中,根據網路上的資料來看,僅僅在20日一天就有將近20萬台電腦遭到病毒感染。
雖然感染此木馬挖礦後外掛依然可以繼續使用,但安全專家建議,曾經使用過外掛的朋友還是應該回家徹底查一次毒,因為此木馬導致使用者顯卡滿負荷工作,壽命將大幅縮減。
想不到吧,打倒外掛的,竟然是一款挖礦的木馬病毒。
8、流覽器外掛程式也能挖礦,手動安裝需謹慎
2017年末,360安全衛士檢測發現,一款名為“百度網盤高速下載”的Chrome外掛程式暗藏挖礦腳本,佔用大約30%的CPU資源挖門羅幣。
據360稱,這是國內首次出現流覽器外掛程式挖礦事件。
該惡意外掛程式為協力廠商製作的非正規外掛程式,它打著“不限速下載”的幌子,吸引線民關注,再加上添加安裝步驟十分簡單,目前流傳度較廣。安全人員提醒,需要手動添加安裝的外掛程式,一般都不安全,用戶安裝外掛程式一定要通過流覽器官方應用商店進行。
與可疑郵件或陌生網址等常見的木馬感染管道相比,流覽器外掛程式的安全性並沒有引起線民的足夠重視,再加上不法分子對某些功能的刻意渲染,很容易吸引線民中招。
2018,挖礦病毒還將放出哪些么蛾子?如何防?
據來自騰訊電腦管家的安全專家預測,與早期的裸奔狀態不同,2018年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外,部分玩家對遊戲輔助的“青睞”,或將促使不法分子將更多惡意程式植入到遊戲輔助等常規軟體中。
對於普通的用戶,應從以下幾點來防止挖礦病毒木馬入侵。
1. 開啟系統自動更新,及時打補丁,防止被惡意木馬利用。
2. 機器卡慢時應立即查看CPU使用情況,若發現可疑進程可及時關閉。
3. 不流覽色情、輔助等被標記為不可信的網站。
4. 不使用輔助及來路不明的軟體,使用未知軟體前先用安全軟體進行安全掃描。
歡迎關注宅客頻道,聽我們講述駭客背後的故事。