近两年市场对比特币、门罗币等各种虚拟货币的热情,催生了繁荣的挖矿产业,也滋生了大批挖矿木马。挖矿木马通过转嫁挖矿成本实现非法利益的最大化,而中招的个人用户则要承担挖矿计算带来的经济损失。
挖矿木马经常伪装成正常软件,而且会提醒用户,声称本软件绝对无毒,杀毒软件报警属于误报现象,并建议用户将软件添加到信任列表或诱导用户关闭安全软件。个人用户很难鉴别软件是否有害,出于使用需求,有些用户会忽略安全软件的风险提示仍然使用报毒的软件。
360安全专家对容易被个人用户放行的挖矿陷阱进行了分析,总结了几种个人用户最易中招的挖矿陷阱及应对措施。
个人用户最易中招的挖矿陷阱 “隐性刚需”软件暗藏猫腻利用满足用户特定需求的工具类软件下发或捆绑挖矿木马。
下面是某论坛用户分享的用于“翻墙”的第三方免费VPN软件,帖子的最后回帖时间是2018年11月24日。软件官网声称是为学生党,上班族定制的免费加速器。不明真相的个人用户以为是天上掉馅饼的好事,很多用户在回帖感谢,实际上这是挖矿木马设置的陷阱。软件中除了提供给用户VPN服务外还会偷偷挖矿。
运行软件后,出现明显的系统资源占用异常升高,经分析这款VPN软件内部可以清楚看到连接矿池挖取门罗币的功能。
特别注意的是,并不只是windows系统的用户是挖矿木马的目标,很多挖矿木马是从开源挖矿项目修改而来,可以支持不同的平台。在该VPN软件的官网上(在如下图),提供了针对Windows,MacOS和linux三种系统的版本,在三个版本的程序中都发现有挖矿相关代码。
个人用户在使用电脑过程中,经常会用到一些特殊的工具软件,比如激活工具、翻墙软件、外挂辅助等。个人用户往往会按照木马提醒忽略安全软件的风险提示,对这类风险工具放行。这些软件不规范也不合法,但总能满足用户的某些需求,是挖矿木马的良好隐蔽目标。个人用户在使用这些软件时还是要擦亮眼睛。
挂机网赚因小失大挂机网赚软件一般打着无需任何投资,轻松挂机赚钱的名号博取用户信任,通过网赚社区或群组传播。许多个人用户只是希望能够赚点零花钱,却不知道有些挂机软件实际是在用用户电脑挖矿,一不小心就落入陷阱。
比如上图这款之前曝光过的披着网赚外衣的“三合一”挖矿木马挂机软件,运行起来时疯狂占用CPU资源挖矿,具有修改MBR添加开机密码的功能,还有传播木马的隐患。挂机网赚软件挖矿并不是个例,通常这些网赚挂机软件并不会明确告诉用户“我是挖矿软件”,而是像下图这样打着利用闲置计算能力,做分布式计算的幌子挖矿。
网赚软件属于灰色产业,缺乏规范和约束,挖矿只是冰山一角,还有可能潜藏其他木马或后门。用个人电脑挂机网赚的蝇头小利和被偷偷挖矿带来的无法估计的后患相比得不偿失。
网页挖矿网页挖矿,主要是在网页中嵌入挖矿代码,借助浏览器解析页面来执行挖矿计算。
网页挖矿很常用的一种方式是利用一些类似coinhive的项目,不需要向个人电脑释放挖矿软件,只需要在网页中嵌入调用JS接口的代码(如上图)。有用户打开网页时就可以通过浏览器在浏览页面的用户电脑上执行挖矿请求,此时浏览器进程就会占用大量系统资源挖矿,电脑会出现明显卡顿。
这种方式可移植性很强,操作方便,许多不正规的网站或者弹窗广告中都可能隐藏着这些代码。包含挖矿代码的网站借助一些特殊内容吸引眼球,当个人用户主动访问这些网站时就会落入陷阱,防不胜防。
对个人用户的危害挖矿木马利用中招的个人用户的电脑挖矿,节省了硬件成本和电力支出,几乎是坐着数钱,却给中招的个人用户带来不小的危害。
挖矿的长时间高速计算,导致电脑发热,风扇快速运转,加速硬件老化。硬件老化可能会使电脑出现各种故障,比如时常死机或频繁重启,直接缩短电脑的使用寿命。 挖矿计算会占用系统资源,中招的个人电脑往往会出现系统变慢或CPU使用率异常增高的情况,影响使用流畅性。在这方面来看控制资源占用的挖矿木马也是“良心发现”。 虽然家用普通电脑的算力和功耗有限,但长时间挖矿日积月累增加的电费开销也是一笔不小的支出。 如何避免落入挖矿木马的陷阱挖矿木马善于利用各种手段伪装和欺骗,个人电脑不知不觉的就沦为矿机。天上掉馅饼的事多半是陷阱,个人用户如何避免落入挖矿木马的各种陷阱呢?
及时更新系统补丁,修复系统漏洞,做好基础防护,避免挖矿木马利用漏洞侵入电脑。 开启杀毒软件防护功能,定期用杀毒软件扫描。360已经推出了反挖矿功能和网页挖矿防护功能,能实时拦截各类挖矿木马的攻击。保持良好的上网习惯,不随意点击陌生链接,从正规渠道下载软件,不运行安全性不明的程序,尤其避免运行杀毒软件已明确报警的程序。 如果出现系统突然变慢或某些进程异常占用CPU资源的情况及时使用杀软扫描并停止相关风险软件使用,如果自己无法处理可以联系360安全专家帮忙解决。