电脑突然变热卡住了？谨防潜伏的挖矿木马“寄生虫”陷入困境

大河日报、大河客户端记者华飞

日前，一家星巴克门店的wifi和知名激活工具KMS相继被植入挖矿木马，将这个新兴的网络安全杀手推向了热潮。面对逐渐猖獗的挖矿木马，360发布《2017挖矿木马研究报告》，对今年挖矿木马的种类、发展趋势及危害进行了全面分析，并提出了相关防范措施。

“寄生虫”的两种吸血法，揭开“永恒之蓝”作为助力神器的秘密

360发布的报告详述了挖矿木马的前世今生：数字货币的发行直接导致了挖矿木马的出现。由于数字货币不是由特定的货币发行者发行，而是由矿机程序按照特定算法通过大量运算获得的，犯罪分子将矿机程序植入受害者的计算机中，并利用受害者的电脑进行挖矿，这种用户不知道的矿机程序就是挖矿木马。近年来，随着数字货币交易价格的上涨，挖矿木马数量急剧增加。

图 1：比特币 2013-2017 年交易价格走势

如果将明目张胆的勒索软件比作威胁网络的安全恶魔，那么潜伏在电脑隐蔽处的挖矿木马就像是吸血的“寄生虫”。这种“寄生虫”主要有两种赚钱方式——僵尸网络和网络挖矿。

挖矿木马僵尸网络是黑客通过入侵其他计算机植入挖矿木马，并通过木马不断入侵更多计算机，从而建立起庞大的傀儡计算机网络。 2017年也是挖矿木马爆发的一年，出现了“Bondnet”、“Adylkuzz”、“Hidden”等多个大型挖矿木马僵尸网络。

图2：挖矿木马僵尸网络配置“EternalBlue”模块

报道指出，早在WannaCry之前，就有利用“永恒之蓝”传播的挖矿木马，如“隐藏”僵尸网络，它凭借“永恒之蓝”站稳脚跟，于2017年4月下旬爆发. “永恒之蓝”因其不需要载体、攻击目标广泛的绝对优势，成为今年挖矿木马僵尸网络的标配。

2017年9月，当发现盗版资源集散地海盗湾在网页中嵌入挖矿脚本时，网络挖矿开始进入公众视野。一般情况下，用户的浏览器负责解析资源和脚本，并将最终的解析结果呈现给用户。但是，当浏览器植入挖矿脚本后，解析对象就变成了挖矿脚本，利用用户的计算机资源进行挖矿，获得挖矿结果。利润。

图 3：2017 年 11 月至 12 月不同挖矿脚本的比例

据报道，网络挖矿会因此严重占用用户电脑资源，电脑运行缓慢，甚至死机，严重影响用户电脑的正常使用。目前发现的网页挖掘脚本种类很多，如Coinhive、JSEcoin、reasedoper、LMODR.BIZ等。报告显示，由于Coinhive脚本的便利性，它已成为大多数不法分子的选择。

应对挖矿木马暗流聚财，360安全专家出谋划策与防范

数字货币交易价格上涨，加上其自身不易察觉的特点，近两年挖矿木马数量呈上升趋势。剧增专门挖矿的电脑配置，犹如骨子里的坏疽，成为威胁网络安全的又一重大杀手。对此，报告针对挖矿木马的两种传播方式分别提供了不同的措施。

图 4：2013 年至 2017 年中国披露的挖矿木马攻击事件

挖掘木马僵尸网络的主要目标对于服务器，如报告所述，一般大型僵尸网络具有较强的弱密码爆破能力专门挖矿的电脑配置，因此服务器应避免使用弱密码。

同时，管理员应及时修补操作系统及相关服务，防止僵尸网络利用漏洞攻击武器，定期维护服务器，并从CPU使用率、执行中的可疑项目等方面持续检查。任务等。一个常驻挖矿木马。

网页挖矿脚本一般只针对PC端，所以用户在浏览网页时要注意CPU使用率，防止挖矿。如果计算机 CPU 使用率飙升并且大部分来自浏览器，那么 Web 很可能被嵌入到挖矿脚本中。此外，用户应尽量避免访问标记为高风险的网站。一般主流浏览器和杀毒软件都会对带有挖矿行为的网页进行标记。用户无需访问高风险网站，即可在一定程度上避免挖矿木马攻击。

虽然网络挖掘比僵尸网络更容易暴露，但在利益驱动下，仍有不少网站植入了挖掘脚本，其中色情网站因高流量成为重点植入对象。报告指出，网页挖矿由于隐蔽性低，未来极有可能转移到网页和端游，游戏的高消费率将掩盖挖矿业务。因此，移动平台应警惕挖矿木马，及时采取相应的防范措施。