要說今年最火的病毒類別，應屬勒索病毒，連街上戴紅袖章的大媽都能跟你聊兩句“想哭”病毒。

但要論賺錢能力，可能“悶聲發(fā)大財”的挖礦木馬更勝一籌，尤其在“炒幣”風暴來襲，比特幣、以太坊等數(shù)字貨幣價格屢創(chuàng)新高的2017年。

隨著不斷攀升的價格和日益減少的加密貨幣數(shù)量，各類挖礦木馬也層出不窮。

與那些自愿為礦池提供算力并獲取報酬的普通礦工不同，“挖礦木馬”是黑客在未授權的情況下向服務器惡意植入程序，并盜用了個人計算機的算力來獲取不義之財。

也許你從來都沒有擁有過數(shù)字貨幣，但就在你看“小片片”、玩游戲、喝咖啡的過程中，很有可能你電腦的 CPU 正在被黑客利用，偷偷為他挖礦賺取數(shù)額不等的數(shù)字貨幣。

上面這句話并非雷鋒網危言聳聽，不信，請看雷鋒網對頻頻爆出的各種挖礦木馬的盤點，它真的就在你身邊，從未走遠~~~

1、上色情網站：掏空你的身體……還有CPU

以后看“小片片”要小心了，色站不只會掏空你的身體，還會掏空你的電腦！

2017 年 7 月，來自騰訊電腦管家的安全研究人員發(fā)現(xiàn)，有多個網站在其網頁內嵌了挖礦 JavaScript 腳本，用戶一旦進入此類網站，JS 腳本就會自動執(zhí)行，占用大量的 CPU 資源以挖取門羅幣，使電腦出現(xiàn)卡頓。

到底是什么樣的網站會成為目標？

咳咳，愛看小說、愛打小游戲、愛看小片片的同學們注意了！

研究人員發(fā)現(xiàn)，內嵌 JS 挖礦的站點主要有色情視頻、小說、網頁游戲等類型，由于這類站點打開后往往會停留一段時間才出現(xiàn)界面，用戶可能不會懷疑是因為機器卡頓的原因，這也成為黑客利用色情網頁挖礦的原因之一。

該 JS 挖礦機是由 Coinhive（專門提供挖礦的 JS 引擎） 提供的一個服務，采用了 Cryptonight 挖礦算法挖門羅幣，而 Cryptonight 算法復雜、占用資源高，常被植入普通用戶機器，占用其CPU資源來挖礦。

諷刺的是，Coinhive 特別說明不要在不提示用戶的情況下使用該服務，因為用戶的利益比任何公司短期利益都要重要的多。然而實際情況是該服務已經被各個站點濫用，有媒體評價 Coinhive 為最受惡意軟件開發(fā)者喜歡的“門羅幣收割機”。

目前，門羅幣也成為黑客最喜歡挖的一類幣，據(jù)騰訊電腦管家安全專家分析，主要原因是因為比特幣挖礦難度太大，需要專業(yè)的礦機，而門羅幣挖掘難度相對較小，普通的PC電腦就可以挖掘。

2、“蹭網”當心被挖礦，甩鍋只服星巴克

在世界各地的星巴克里，我們經常能看到帶著筆記本“蹭網”辦公的白領們。

在2017年年末，黑客盯上了這些電腦配置還不錯的人，他們通過植入挖礦木馬，把筆記本變成了自己的礦機，瘋狂挖掘門羅幣。

最先發(fā)現(xiàn)該情況的是一位名為 Dinkin 的推特用戶，他對布宜諾斯艾利斯的星巴克喊話：喂，老兄，你家的公共 WiFi 被黑客挖礦了，延遲了10秒啊，快來看看哪~~~

但佛系商家星巴克卻很淡定，在事件曝光10天后，才終于做出了回應，而且回應的主要內容是甩鍋給 WiFi 提供商~~~

大意就是，已聯(lián)系了互聯(lián)網服務提供商，發(fā)現(xiàn) WiFi 不是由星巴克運營的，所以這不是星巴克可以控制的東西。（言外之意，這事兒不怪本寶寶，我也很無奈啊~）上述情況只發(fā)生在個別門店，目前對此事已經進行了處理。（大家不要太擔心，該干嘛干嘛。）

可以說是一點認錯的態(tài)度都沒有~~~

不過，根據(jù)公布的腳本可以看出，黑客主要通過入侵 WIFI 提供商， 在 WIFI 連接頁面被植入挖礦代碼，導致用戶在連接 WIFI 時執(zhí)行挖礦程序。Hackread.com（黑客研究網站）和Blockexplorer.com（比特幣挖礦網站）均表示，這確實是 Coinhive 代碼，專門負責幫黑客挖掘門羅幣。

3、披著“網賺”項目的外衣，干著惡意挖礦的勾當

最近很流行一個網賺項目，叫做“太極掛機”軟件，先看看它的宣傳語，可以說是很誘惑人心了。

大意就是你只需下載運行該軟件，剩下的，啥都不用做就可以輕松賺錢，就等著天下掉餡餅了！

其實號稱掛機軟件的網賺項目一直以來都有，但還是有很多人真的相信天下就是有免費的午餐。

據(jù)安全人員研究，所謂的掛機網賺只是木馬病毒的幌子。包括“太極掛機軟件”在內的多款類似惡意程序一旦被用戶下載并安裝，不但會大量占用CPU資源進行挖礦操作，還會在用戶機器上傳播 Ramnit 感染型木馬，更有甚者，直接給電腦添加上 MBR 密碼使用戶無法正常登錄系統(tǒng)！

話說，中大獎還得先買彩票呢？這種無投入就能賺錢的事，怎么能相信呢？

4、傍上僵尸網絡的挖礦木馬，我裸奔我怕誰

僵尸網絡和挖礦木馬這對病毒，可以說是很絕配了。

這哥倆搭伙，很像是可以干出一番“事業(yè)”的樣子。

騰訊電腦管家安全專家指出，僵尸網絡具有隱秘、數(shù)量大等特點，而挖礦木馬為了提升算力，需要更多的機器，僵尸網絡無疑是最佳選擇。

在挖礦木馬還沒有隱藏在普通軟件之前時，它還只是僵尸網絡一個新拓展的“業(yè)務”，能同時做到挖礦、DDoS兩不誤，這時的挖礦行為還處于“裸奔期”。

比如，2017 年 5 月發(fā)現(xiàn)的“Adylkuzz”僵尸網絡，它比“WannaCry”出現(xiàn)的時間還要早，威力也不小，影響了全球幾十萬臺機器。

不過有意思的是，“Adylkuzz”入侵成功后會利用“永恒之藍”漏洞阻止其他病毒也利用此類漏洞，安全專家認為這在一定程度上限制了“WannaCry”的傳播。

“WannaCry”及“Adylkuzz”都會利用windows SMB遠程提漏洞，“Adylkuzz”入侵到用戶機器后，會阻止SMB通信，這樣就阻止了“WannaCry”傳播。

木馬入侵成功后，就會鏈接C&C服務器，接受挖礦指令，該木馬目前專門挖取門羅幣。

5、病毒能打組合拳，挖礦刷量兩不誤

病毒坑的可能不僅是PC 的個人電腦的CPU，還有可能坑金主爸爸。

在2017年11月，雷鋒網接到來自多個安全實驗室的消息，中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”，該病毒可隨時接收遠程指令，利用被感染電腦刷廣告流量和 “挖礦”（生產“門羅幣”），讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

“天翼校園客戶端”安裝包運行后，后門病毒即被植入電腦。該病毒會訪問遠程C&C服務器存放的廣告配置文件，然后構造隱藏IE瀏覽器窗口執(zhí)行暗刷流量，同時也會釋放門羅幣挖礦者病毒進行挖礦。

天翼校園客戶端安裝后，安裝目錄中會釋放 speedtest.dll 文件，speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊，最終完成刷廣告流量和實現(xiàn)挖礦。

也就是說，這種挖礦病毒坑的不只一個個的 PC 使用者，還有很多在這些網站投廣告的金主爸爸。

通過監(jiān)測發(fā)現(xiàn)，該病毒下載的廣告鏈接約400余個，由于廣告頁面被病毒隱藏，并沒有在用戶電腦端展示出來，這致使廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。

6、當心 KMS  植入激活：各大搜索引擎都中招

Key Management Service（KMS）原本只是在Windows Vista之后的產品中，所提供的一種新型產品激活機制，目的是為了微軟能更好地遏制非法軟件授權行為。

但正是這個看起來“一身正氣”的激活工具，卻成為黑客傳播挖礦木馬的途徑之一。

2017年12月19日，雷鋒網接到火絨安全團隊的報告，當用戶從網站 kmspi.co下載激活工具KMS時，電腦將被植入挖礦病毒“Trojan/Miner”。該病毒入侵用戶電腦后，會利用電腦瘋狂“挖礦”，讓這些用戶電腦淪為他們牟取利益的“肉雞”。

安全人員發(fā)現(xiàn)，該網站在百度、谷歌、必應等多家搜索引擎中，搜索結果位置都極靠前。在百度搜索關鍵詞“KMSpico”時，帶毒網站赫然排在第二的位置上。

除了大量用戶通過搜索引擎進入帶毒網站，由于KMS極為流行，極有可能已經被網友分享到各大技術論壇，形成二次傳播。

7、吃雞開掛需謹慎，害人終害己

為了取得更好的戰(zhàn)績，很多游戲玩家都選擇使用外掛，尤其是爆火的《絕地求生》幾乎成了外掛的代名詞，很多玩家已沉浸在外掛殺人的快感中無法自拔。

來自騰訊電腦管家的安全專家告訴雷鋒網，想通過挖礦獲取更多的數(shù)字加密貨幣，只有提升算力一條途徑，提升算力就只能從機器數(shù)量及配置入手。而《絕地求生》吃雞游戲對用戶的 PC 配置要求比較高，這與挖礦木馬的需求相符，這類開掛玩家自然成為黑客盯上的目標。

這下，開掛帶來的惡果終于輪到自己吃了。

2018年1月4日，雷鋒網接到騰訊電腦管家的消息，稱其捕獲了一款名為“tlMiner”的 HSR 幣（紅燒肉幣）挖礦木馬，隱藏在游戲《絕地求生》的輔助程序中，根據(jù)網絡上的數(shù)據(jù)來看，僅僅在20日一天就有將近20萬臺電腦遭到病毒感染。

雖然感染此木馬挖礦后外掛依然可以繼續(xù)使用，但安全專家建議，曾經使用過外掛的朋友還是應該回家徹底查一次毒，因為此木馬導致用戶顯卡滿負荷工作，壽命將大幅縮減。

想不到吧，打倒外掛的，竟然是一款挖礦的木馬病毒。

8、瀏覽器插件也能挖礦，手動安裝需謹慎

2017年末，360安全衛(wèi)士檢測發(fā)現(xiàn)，一款名為“百度網盤高速下載”的Chrome插件暗藏挖礦腳本，占用大約30%的CPU資源挖門羅幣。

據(jù)360稱，這是國內首次出現(xiàn)瀏覽器插件挖礦事件。

該惡意插件為第三方制作的非正規(guī)插件，它打著“不限速下載”的幌子，吸引網民關注，再加上添加安裝步驟十分簡單，目前流傳度較廣。安全人員提醒，需要手動添加安裝的插件，一般都不安全，用戶安裝插件一定要通過瀏覽器官方應用商店進行。

與可疑郵件或陌生網址等常見的木馬感染渠道相比，瀏覽器插件的安全性并沒有引起網民的足夠重視，再加上不法分子對某些功能的刻意渲染，很容易吸引網民中招。

2018，挖礦病毒還將放出哪些幺蛾子？如何防？

據(jù)來自騰訊電腦管家的安全專家預測，與早期的裸奔狀態(tài)不同，2018年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外，部分玩家對游戲輔助的“青睞”，或將促使不法分子將更多惡意程序植入到游戲輔助等常規(guī)軟件中。

對于普通的用戶，應從以下幾點來防止挖礦病毒木馬入侵。
1. 開啟系統(tǒng)自動更新，及時打補丁，防止被惡意木馬利用。
2. 機器卡慢時應立即查看CPU使用情況，若發(fā)現(xiàn)可疑進程可及時關閉。
3. 不瀏覽色情、輔助等被標記為不可信的網站。
4. 不使用輔助及來路不明的軟件，使用未知軟件前先用安全軟件進行安全掃描。

參考來源：騰訊安全2017年度互聯(lián)網安全報告、Freebuf、360。

歡迎關注宅客頻道，聽我們講述黑客背后的故事。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。