伴隨數(shù)字加密貨幣在全球市場(chǎng)上持續(xù)火爆，挖礦木馬的數(shù)量也急劇增加。近日，騰訊安全反病毒實(shí)驗(yàn)室結(jié)合自身的安全大數(shù)據(jù)，對(duì)挖礦木馬的類型、傳播方式、攻擊特征進(jìn)行了全面的分析，并就如何抵御挖礦木馬的攻擊給出了專業(yè)建議。

首部幣圈大數(shù)據(jù)出爐 國(guó)內(nèi)挖礦木馬最愛門羅幣

據(jù)了解，挖礦木馬主要以PC客戶端和網(wǎng)頁(yè)腳本的形式存在，悄悄潛入用戶的電腦中，定時(shí)啟動(dòng)挖礦程序進(jìn)行計(jì)算，大量消耗用戶電腦資源，導(dǎo)致用戶電腦異常發(fā)熱、性能變低，運(yùn)行速度變慢，使用壽命變短等等。

經(jīng)過對(duì)近期發(fā)現(xiàn)的挖礦木馬進(jìn)行大數(shù)據(jù)分析，騰訊安全反病毒實(shí)驗(yàn)室指出，挖礦木馬在挖礦過程中使用的進(jìn)程名稱通常對(duì)應(yīng)著系統(tǒng)文件，這是由于挖礦木馬以進(jìn)程注入的方式使用系統(tǒng)文件作為進(jìn)程傀儡來進(jìn)行挖礦。例如排名第一位的進(jìn)程名conhost在很多情況下對(duì)應(yīng)著系統(tǒng)的記事本程序notepad.exe，其他的進(jìn)程名如EthDcrMiner64、minerd 、xig、ETHSC、xmrig等都為標(biāo)準(zhǔn)的挖礦木馬。

(圖：挖礦木馬對(duì)應(yīng)的進(jìn)程名)

騰訊安全反病毒實(shí)驗(yàn)室使用其自研的哈勃分析系統(tǒng)對(duì)挖礦木馬的工作進(jìn)程進(jìn)行了分析，并統(tǒng)計(jì)了這些挖礦木馬所連接的礦池地址，發(fā)現(xiàn)國(guó)內(nèi)挖礦用戶最喜愛使用的礦池地址為pool.minexmr.com，其對(duì)應(yīng)挖取的幣種為門羅幣。

值得關(guān)注的是，最受挖礦木馬偏愛的幣種為門羅幣，其次分別是以太幣、比特幣鉆石、狗狗幣、超級(jí)現(xiàn)金，其他幣種非常少見。雖然比特幣名聲在外，然而直接挖比特幣的病毒木馬卻很少，原因或在于比特幣挖礦難度太高，不如挖更容易得到的門羅幣來錢快。

(圖：國(guó)內(nèi)挖礦木馬活躍礦池地址)

通常情況下，用戶可通過端口輔助判斷計(jì)算機(jī)是否有挖礦行為。騰訊安全反病毒實(shí)驗(yàn)室將挖礦木馬的礦池地址對(duì)應(yīng)的端口號(hào)進(jìn)行統(tǒng)計(jì)，數(shù)據(jù)顯示3333端口為挖礦木馬最愛使用的端口，約占所有挖礦礦池連接端口的12%。從端口區(qū)間上看，30003999之間的端口是挖礦木馬最常使用的端口范圍，該區(qū)間的端口占挖礦端口的38.7%。

(圖：挖礦木馬礦池對(duì)應(yīng)端口占比)

　　挖礦木馬盯上企業(yè)用戶 騰訊御界高級(jí)威脅監(jiān)測(cè)系統(tǒng)全面防御

從傳播方式上看，騰訊安全反病毒實(shí)驗(yàn)室發(fā)現(xiàn)，除部分利用MS17010傳播的挖礦木馬蠕蟲及軟件綁架傳播外，大多數(shù)挖礦木馬更喜歡使用基于Web端的遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行主機(jī)掃描，漏洞利用成功后向受害主機(jī)投放挖礦木馬。

對(duì)此，騰訊企業(yè)安全技術(shù)專家建議，個(gè)人用戶應(yīng)確保系統(tǒng)及時(shí)更新，使用騰訊電腦管家安裝最新的安全補(bǔ)丁修復(fù)已知的安全漏洞，可以很大程度上降低風(fēng)險(xiǎn);企業(yè)用戶需及時(shí)打好服務(wù)器操作系統(tǒng)、Web服務(wù)端、開放的服務(wù)的補(bǔ)丁，可抵擋黑客基于掃描的漏洞利用傳播挖礦木馬的攻擊。

騰訊企業(yè)安全技術(shù)專家指出，無論采取何種傳播方式，黑客的挖礦收益取決于被攻擊的受害主機(jī)的數(shù)量與性能，因此企業(yè)用戶更容易成為不法分子的攻擊目標(biāo)。騰訊安全針對(duì)企業(yè)用戶推出的御界高級(jí)威脅檢測(cè)系統(tǒng)(http://s.tencent.com/product/gjwxjc/index.html)，是基于騰訊安全反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。通過對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，可及時(shí)感知到挖礦木馬的利用和攻擊，有效保護(hù)企業(yè)網(wǎng)絡(luò)安全。

(圖：騰訊御界高級(jí)威脅監(jiān)測(cè)系統(tǒng))

面對(duì)不斷肆虐的挖礦木馬，騰訊企業(yè)安全技術(shù)專家表示，企業(yè)及個(gè)人用戶日常應(yīng)養(yǎng)成良好的電腦使用習(xí)慣，加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)：使用強(qiáng)密碼保護(hù)服務(wù)器賬戶;不訪問被標(biāo)記為高風(fēng)險(xiǎn)的惡意網(wǎng)站，不隨意打開來源不明的文件和可疑鏈接;對(duì)于可疑文件可使用騰訊電腦管家等安全軟件進(jìn)行掃描，或者將文件上傳哈勃分析系統(tǒng)(https://habo.qq.com/)查看文件是否存在風(fēng)險(xiǎn)。此外，騰訊電腦管家“反挖礦防護(hù)”功能已覆蓋全版本用戶，可實(shí)時(shí)攔截并預(yù)警各類挖礦木馬程序和含有挖礦js腳本網(wǎng)頁(yè)的運(yùn)行，確保用戶電腦資源不被侵占，擁有輕快的上網(wǎng)體驗(yàn)。