本文來自合作媒體 雷鋒網 ，INSIDE 授權轉載

要說今年最火的病毒類別，應屬勒索病毒，連街上大媽都能跟你聊兩句「想哭」病毒。

但要論賺錢能力，可能「悶聲發大財」的挖礦木馬更勝一籌，尤其在「炒幣」風暴來襲，比特幣、以太坊等數位貨幣價格屢創新高的 2017 年。

隨著不斷攀升的價格和日益減少的加密貨幣數量，各類挖礦木馬也層出不窮。

與那些自願為礦池提供算力並獲取報酬的普通礦工不同，「挖礦木馬」是駭客在未授權的情況下向伺服器惡意植入程式，並盜用了個人電腦的算力來獲取不義之財。

也許你從來都沒有擁有過數位貨幣，但就在你看「小片片」、玩遊戲、喝咖啡的過程中，很有可能你電腦的 CPU 正在被駭客利用，偷偷為他挖礦賺取數額不等的數位貨幣。

上面這句話並非危言聳聽，不信，請看頻頻爆出的各種挖礦木馬的盤點，它真的就在你身邊，從未走遠~~~

1、上色情網站：掏空你的身體……還有 CPU

以後看「小片片」要小心了，色情網站不只會掏空你的身體，還會掏空你的電腦！

2017 年 7 月，資安研究人員發現，有多個網站在其網頁內嵌了挖礦 JavaScript 腳本，使用者一旦進入此類網站，JS 腳本就會自動執行，佔用大量的 CPU 資源以挖取門羅幣，使電腦出現卡頓。

到底是什麼樣的網站會成為目標？

除了小片片，愛看小說、愛打小遊戲的朋友也要注意了！

研究人員發現，內嵌 JS 挖礦的站點主要有色情影片、小說、網頁遊戲等類型，由於這類站點打開後往往會停留一段時間才出現界面，使用者可能不會懷疑是因為電媼卡頓的原因，這也成為駭客利用色情網頁挖礦的原因之一。

該 JS 挖礦機是由 Coinhive（專門提供挖礦的 JS 引擎）提供的一個服務，採用了 Cryptonight 挖礦算法挖門羅幣，而 Cryptonight 算法複雜、佔用資源高，常被植入普通使用者機器，佔用其 CPU 資源來挖礦。

諷刺的是，Coinhive 特別說明不要在不提示使用者的情況下使用該服務，因為使用者的利益比任何公司短期利益都要重要的多。然而實際情況是該服務已經被各個站點濫用，有媒體評價 Coinhive 為最受惡意軟體開發者喜歡的「門羅幣收割機」。

目前，門羅幣也成為駭客最喜歡挖的一類幣，據資安專家分析，主要原因是因為比特幣挖礦難度太大，需要專業的礦機，而門羅幣挖掘難度相對較小，普通的 PC 電腦就可以挖掘。

2、當心在星巴克也被「挖礦」

在世界各地的星巴克裡，我們經常能看到帶著筆電辦公的白領們。

在 2017 年年末，駭客盯上了這些電腦配備還不錯的人，他們通過植入挖礦木馬，把筆記本變成了自己的礦機，瘋狂挖掘門羅幣。

最先發現該情況的是一位名為 Dinkin 的推特使用者，他對布宜諾斯艾利斯的星巴克喊話：餵，老兄，你家的公共 WiFi 被駭客挖礦了，延遲了 10 秒啊，快來看看哪~~~

但星巴克卻很淡定，在事件曝光 10 天後，才終於做出了回應，而且回應的主要內容是推回給 WiFi 提供商~~~

大意就是，已聯繫了互聯網服務提供商，發現 WiFi 不是由星巴克運營的，所以這不是星巴克可以控制的東西。（言外之意，這事兒不怪我，我也很無奈啊~）上述情況只發生在個別門店，目前對此事已經進行了處理。可以說是一點認錯的態度都沒有~~~

不過，根據公佈的腳本可以看出，駭客主要通過入侵 WIFI 提供商， 在 WIFI 連接頁面被植入挖礦代碼，導致使用者在連接 WIFI 時執行挖礦程式。Hackread.com（駭客研究網站）和 Blockexplorer.com（比特幣挖礦網站）均表示，這確實是 Coinhive 代碼，專門負責幫駭客挖掘門羅幣。

3、披著「網賺」的外衣，幹著惡意挖礦的勾當

最近中國很流行一個網賺，叫做「太極掛機」軟體，先看看它的宣傳語，十分誘惑人心。

大意就是你只需下載運行該軟體，剩下的，啥都不用做就可以輕鬆賺錢，就等著天下掉餡餅了！

其實號稱掛機軟體的網賺一直以來都有，但還是有很多人真的相信天下就是有免費的午餐。

據安全人員研究，所謂的掛機網賺只是木馬病毒的幌子。包括「太極掛機軟體」在內的多款類似惡意程式一旦被使用者下載並安裝，不但會大量佔用 CPU 資源進行挖礦操作，還會在使用者機器上傳播 Ramnit 感染型木馬，更有甚者，直接給電腦添加上 MBR 密碼使使用者無法正常登錄系統！

話說，中大獎還得先買彩票呢？這種無投入就能賺錢的事，怎麼能相信呢？

4、搭上僵屍網絡的挖礦木馬

僵屍網絡和挖礦木馬這對病毒，可以說是絕配，很像是可以做出一番「事業」的樣子。

資安專家指出，僵屍網絡具有隱秘、數量大等特點，而挖礦木馬為了提升算力，需要更多的機器，僵屍網絡無疑是最佳選擇。

在挖礦木馬還沒有隱藏在普通軟體之前時，它還只是僵屍網絡一個新拓展的「業務」，能同時做到挖礦、DDoS 兩不誤，這時的挖礦行為還處於「裸奔期」。

比如，2017 年 5 月發現的「Adylkuzz」僵屍網絡，它比「WannaCry」出現的時間還要早，威力也不小，影響了全球幾十萬台機器。

不過有意思的是，「Adylkuzz」入侵成功後會利用「永恆之藍」漏洞阻止其他病毒也利用此類漏洞，資安專家認為這在一定程度上限制了「WannaCry」的傳播。

「WannaCry」及「Adylkuzz」都會利用 windows SMB 遠程提漏洞，「Adylkuzz」入侵到使用者機器後，會阻止 SMB 通訊，這樣就阻止了「WannaCry」傳播。

木馬入侵成功後，就會鏈接 C&C 伺服器，接受挖礦指令，該木馬目前專門挖取門羅幣。

5、病毒能打組合拳，挖礦刷量兩不誤

病毒坑的可能不僅是 PC 的個人電腦的 CPU，還有可能坑金主爸爸。

在 2017 年 11 月來自多個安全實驗室的消息，中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的「天翼校園客戶端」攜帶後門病毒「Backdoor/Modloader」，該病毒可隨時接收遠程指令，利用被感染電腦刷廣告流量和「挖礦」（生產「門羅幣」），讓這些校園使用者的電腦淪為他們牟取利益的「肉雞」。

「天翼校園客戶端」安裝包運行後，後門病毒即被植入電腦。該病毒會訪問遠程 C&C 伺服器存放的廣告配置文件，然後構造隱藏 IE 瀏覽器窗口執行暗刷流量，同時也會釋放門羅幣挖礦者病毒進行挖礦。

天翼校園客戶端安裝後，安裝目錄中會釋放 speedtest.dll 檔案，speedtest.dll 扮演病毒「母體」角色。執行下載、釋放其他病毒模塊，最終完成刷廣告流量和實現挖礦。

也就是說，這種挖礦病毒坑的不只一個個的 PC 使用者，還有很多在這些網站投廣告的金主爸爸。

通過監測發現，該病毒下載的廣告鏈接約 400 個，由於廣告頁面被病毒隱藏，並沒有在使用者電腦端展示出來，這致使廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。

6、當心 KMS 植入：各大搜索引擎都中招

Key Management Service（KMS）原本只是在 Windows Vista 之後的產品中，所提供的一種新型產品觸發機制，目的是為了微軟遏制非法軟體授權行為。

但正是這個看起來「一身正氣」的工具，卻成為駭客傳播挖礦木馬的途徑之一。

2017 年 12 月 19 日發現，當使用者從網站 kmspi.co 下載激活工具 KMS 時，電腦將被植入挖礦病毒「Trojan/Miner」。該病毒入侵使用者電腦後，會利用電腦瘋狂「挖礦」，讓這些使用者電腦淪為他們牟取利益的「肉雞」。

資安人員發現，該網站在百度、Google、必應等多家搜索引擎中，搜索結果位置都極靠前。在百度搜索關鍵詞「KMSpico」時，帶毒網站赫然排在第二的位置上。

除了大量使用者通過搜索引擎進入帶毒網站，由於 KMS 極為流行，極有可能已經被網友分享到各大技術論壇，形成二次傳播。

7、吃雞開掛需謹慎，害人終害己

為了取得更好的戰績，很多遊戲玩家都選擇使用外掛，尤其是爆火的《絕地求生》幾乎成了外掛的代名詞，很多玩家已沈浸在外掛殺人的快感中無法自拔。

想通過挖礦獲取更多的數位加密貨幣，只有提升演算力一條途徑，提升算力就只能從機器數量及配置入手。而《絕地求生》吃雞遊戲對使用者的 PC 配置要求比較高，這與挖礦木馬的需求相符，這類開掛玩家自然成為駭客盯上的目標。

這下，開掛帶來的惡果終於輪到自己吃了。

2018 年 1 月 4 日發現了一款名為「tlMiner」的 HSR 幣（紅燒肉幣）挖礦木馬，隱藏在遊戲《絕地求生》的輔助程式中，根據網絡上的數據來看，僅僅在 20 日一天就有將近 20 萬台電腦遭到病毒感染。

雖然感染此木馬挖礦後外掛依然可以繼續使用，但安全專家建議，曾經使用過外掛的朋友還是應該回家徹底查一次毒，因為此木馬導致使用者顯卡滿負荷工作，壽命將大幅縮減。

想不到吧，打倒外掛的，竟然是一款挖礦的木馬病毒。

8、瀏覽器外掛也能挖礦，手動安裝需謹慎

2017 年末，一款名為「百度網盤高速下載」的 Chrome 外掛被發現暗藏挖礦腳本，佔用大約 30% 的 CPU 資源挖門羅幣。據稱，這是中國首次出現瀏覽器外掛挖礦事件。

該惡意外掛為第三方製作的非正規外掛，它打著「不限速下載」的幌子，吸引網友關注，再加上添加安裝步驟十分簡單，目前流傳度較廣。安全人員提醒，需要手動添加安裝的外掛，一般都不安全，使用者安裝外掛一定要通過瀏覽器官方應用商店進行。

與可疑郵件或陌生網址等常見的木馬感染管道相比，瀏覽器外掛的安全性並沒有引起網友的足夠重視，再加上不法分子對某些功能的刻意渲染，很容易吸引網民中招。

2018，挖礦病毒還將放出哪些招數？如何防？

據專家預測與早期的裸奔狀態不同，2018 年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外，部分玩家對遊戲輔助的「青睞」，或將促使不法分子將更多惡意程式植入到遊戲輔助等常規軟體中。