2024年3月18日发(作者:)

挖矿木马为什么会成为病毒木马的中流砥柱

一、概述

根据情报中心监测数据,2018年挖矿木马样本月产生数量在百万级别,且上半年呈

现快速增长趋势,下半年上涨趋势有所减缓。由于挖矿的收益可以通过数字加密货币系统

结算,使黑色产业变现链条十分方便快捷,少了中间商(洗钱团伙)赚差价。数字加密币交

易系统的匿名性,给执法部门的查处工作带来极大难度。

在过去的2018年,挖矿病毒的流行程度已远超游戏盗号木马、远程控制木马、网络

劫持木马、感染型病毒等等传统病毒。以比特币为代表的虚拟加密币经历了过山车行情,

许多矿场倒闭,矿机跌落到轮斤卖的地步。但即使币值已大幅下跌,挖矿木马也未见减少。

因为控制他人的肉鸡电脑挖矿,成本为零。

当电脑运行挖矿病毒时,计算机CPU、GPU资源占用会上升,电脑因此变得卡慢,

如果是笔记本电脑,会更容易观察到异常:比如电脑发烫、风扇转速增加,电脑噪声因此

增加,电脑运行速度也因此变慢。但是也有挖矿木马故意控制挖矿时占用的CPU资源在

一定范围内,并且设置为检测到任务管理器时,将自身退出的特性,以此来减少被用户发

现的几率。

根据情报中心监测数据,2018年挖矿木马样本月产生数量在百万级别,且全年呈现

增长趋势。

我们对2018年挖矿病毒样本进行归类,对挖矿木马使用的端口号、进程名、矿池的

特点进行统计,发现以下特点:

挖矿木马最偏爱的端口号依次为3333、8008、8080。

挖矿木马喜欢将自身进程名命名为系统进程来迷惑用户,除了部分挖矿进程直接使用

xxxminer外,最常使用的进程名为windows系统进程名:以及。

挖矿木马连接矿池挖矿,从矿池获取任务,计算后将任务提交到矿池。矿工将自己的

矿机接入矿池,贡献自己的算力共同挖矿,共享收益。2018年挖矿木马应用最广泛的矿

池为,其次为。

二、2018年挖矿木马传播特点

1.瞄准游戏高配机,高效率挖矿

辅助外挂是2018年挖矿木马最喜爱的藏身软件之一。由于游戏用户对电脑性能要求

较高,不法分子瞄准游戏玩家电脑,相当于找到了性能“绝佳”的挖矿机器。

案例1:tlMiner挖矿木马利用《绝地求生》玩家的高配置机器,搭建挖矿集群

2017年年底杀毒软件发现一款名为“tlMiner”的挖矿木马,隐藏在《绝地求生》辅

助程序中进行传播,单日影响机器量最高可达20万台。经溯源分析发现,该木马在2017

年12月8号辅助新版发布后开始植入辅助工具,其间有过停用,但巨大的利益驱使不法

分子在12月25号重新开放辅助及挖矿功能。

2018年1月杀毒软件对tlMiner挖矿行为及传播来源进行曝光,随即在3月份配合

守护者计划安全团队,协助山东警方快速打击木马作者,并在4月初打掉这个链条顶端的