虚拟货币挖矿是病毒吗,有什么风险吗?
大家好,感谢邀请,今天来为大家分享一下虚拟货币挖矿是病毒吗的问题,以及和现在挖矿炒币这么火爆,有什么风险吗?的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
本文目录
- 网页挖矿病毒每天感染2000网站,怎么回事呢?
- 计算机挖矿病毒是怎么样通过PowerShell脚本作为载体进行传播的呢?
- 现在挖矿炒币这么火爆,有什么风险吗?
- 全球爆发大规模勒索病毒,大家用什么杀毒软件免疫的?有用吗?
网页挖矿病毒每天感染2000网站,怎么回事呢?
感谢你的邀请
喜欢看互联网热点,奇葩趣事,可以关注老铁。
目前入侵网站植入挖矿病毒成为黑色产业牟利的新方向,具体回答如下,望采纳。
随着比特币价格上涨,甚至一个比特币价值10万人民币,其他加密比也得到炒家青睐,价格狂飙。也就越来电脑、手机感染病毒,被利用去挖矿。比如前段时间,天翼客户端都被利用来挖门罗币。最近网站也不能幸免,入侵网站植入挖矿病毒成为黑色产业牟利的新方向,每天全球有超过2000个网站被感染网页挖矿病毒。
目前,一些企业官网,前段某报社官网就被植入挖矿病毒。还有就是一些小视频网站,这些网站很多都是网站故意这么搞,目的牟取暴利。所以说现在网站是否会被来用挖矿,主要取决于用户在这网站浏览的时间长短,色情网站、视频网站最受青睐。
访问被植入挖矿病毒的网站的危害电脑CPU会大量占用,电脑资源被大量占用,掏空电脑,电脑出现卡慢等现象。
绝大多数网页挖矿病毒在关闭浏览器页面后会停止挖矿,有个别网页挖矿病毒更加丧心病狂,会长驻内存,用户关闭浏览器也不退出。感染终端电脑、手机的挖矿病毒,除非将其清除,基本会长驻内存,持续进行挖矿操作。网页挖矿只需要引诱用户打开浏览器访问相应页面即可开始挖矿,传播更为便利。
鉴于挖矿病毒对系统资源的消耗十分严重,金山毒霸已升级相应的防护功能。当用户访问到含挖矿病毒的页面,金山毒霸或猎豹浏览器会加以拦截,以阻止挖矿病毒运行。
大家对入侵网站植入挖矿病毒成为黑色产业牟利的新方向有什么看法,欢迎大家通过关注、评论、转发、收藏、点赞等方式一起学习交流。
计算机挖矿病毒是怎么样通过PowerShell脚本作为载体进行传播的呢?
前言
近日,金山毒霸安全实验室拦截到一个通过PowerShell脚本作为载体进行传播的挖矿病毒,其通过下拉多个脚本完成一次攻击行为,使用“永恒之蓝”漏洞、WMIExec渗透工具进行自动化传播,同时所有载荷均写入WMI进行无文件驻留。
该样本目前仍在活跃中,同时存在其他变种,详细分析见正文。
正文母体脚本
如下为捕获到的样本,也是一个唯一落地的BAT脚本,功能上算一个较为常见的PowerShell联网下拉执行脚本。通过判断WMI的命名空间下是否存在名为的,如果不存在则联网下拉脚本。
提供病毒下载的服务器
其中,
info.vbs携带挖矿程序的vbs脚本,自身会写入WMI
info3.ps1携带x86平台挖矿、攻击脚本
info6.ps1携带x64平台挖矿、攻击脚本
攻击演示图
info6.ps1主脚本
混淆严重
info6.ps1是一个混淆程度较高的powershell脚本,整体代码只有两行,但足有3.9M大小,真是”短小精悍”。
通过对该脚本进行2次去混淆并进行整理,最终得到一个较为清晰的内容,下文是其执行过程及其相关模块的分析。
执行过程
1.初始化数据
通过对$fa进行分拆得到各个变量的数据,实际均经过base64编码。
这些数据会存储在中,而的管理类是WMI,实际最终存储在WMI中,也即无文件
在取值的时候,则可以通过如下方式取出
2.判断x64
大多数机器是x64的,但也有部分x86用户,需要做兼容,实际功能代码与info6.ps1一样。
3.解代码
由于fun中有WMIExec和MS17010的攻击包,还有一些是辅助功能函数,所以这里先引入,至于里面具体是什么请向下看。
4.释放运行时dll
这些dll是挖矿程序需要用到的,所以这里早点释放出来吧
5.删除其他WMI
6.写自己的WMI
其中FilterName与ConsumerName分别为,,间隔5600s执行一次”本脚本”功能,通过powershell传入base64编码后的脚本内容。
7.善后、开工!
由于母体bat脚本是由ms17010shellcode写入temp路径下的,原始名称为y1.bat,并且通过写计划任务的形式启动,所以这里需要删掉这个计划任务以及清理掉这个bat脚本。之后看看哪些powershell进程访问了80端口,由于样本携带的挖矿程序均访问80端口,所以也以此判断是否启动了自己的挖矿程序,如果没访问那么就需要执行一次,当然为了保证工作环境的干净,需要干掉疑似挖矿的其他powershell进程,通过判断典型挖矿程序的的3333,5555端口访问。
8.攻击、传播!
为了保证挖矿效率,需要抓一些”矿工”,由于不会给工资,所以没人愿意白干。这里需要请WMIExec和MS17010两位大哥出面协调。
通过枚举网段IP,进行攻击,由于给WMIExec命令行参数传错,导致这个攻击彻底废了,那只好MS17010出马了,通过调用C#实现的接口,以及函数进行攻击。
模块分析
继上文说到本样本使用了WMIExec和MS17010攻击包,那么这些东西是什么,又是怎么引入的?这也是本节要说明的。
WMIExec
代码来自Invoke-TheHash项目,一个基于.NetTCPClient,通过把NTLMhash传递给NTLMv2身份验证协议来进行身份验证的工具,执行时不需要本地管理员权限,传送门
样本作者封装了一个test-ip函数,其参数2,4是通过mimikatz抓取的本地用户hash,参数1,3分别是目标ip和回连web服务器。WMIExec执行的功能是通过写一个VBSDownload,下拉执行一个VBS脚本,同时下拉执行info6.ps1(32位为info3.ps1)。
MS17010
虽然这个漏洞目前看来有点”过气”,但毕竟也是RCE啊!
作者分别引入了扫描和exp模块,扫描模块,通过的方式引入源代码,这样会在powershell运行过程中调起C#编译器动态编译,抓取到的命令行如下
exp模块,已封装很完整,暂未找到开源代码。
shellcode,执行如下命令
攻击时截图如下,
执行方式
样本作者在PowerShell中携带的挖矿程序,会通过反射加载的方式进行启动,具体可以用如下代码模拟启动
(门罗毕)挖矿程序执行后,界面如下
info.vbs脚本
上文说了info6.ps1和其相关的辅助模块,同时提到一次WMIExec攻击成功之后,会下拉一个info.vbs脚本,但是由于传入参数问题,这个是不会被下拉的,这里简单分析下。vbs脚本依然存在混淆,通过提取、整理,如下,先将编码后的另一个挖矿程序写入到WMI中保存起来,使用的时候通过调用WriteBinary函数导出
之后取出来,释放执行,开始挖矿
完成写一个WMI事件过滤器,间隔2h启动一次,功能当然是取挖矿程序,释放执行,这里不再赘述。
检测&清除
通过代码分析,本样本实际传播途径主要为ms17010,所以提醒各位还是要及时安装补丁。
检测&清除PowerShell脚本代码如下,请尝试以管理员权限运行(请谨慎使用下列代码,在自身不确定的情况下也可安装金山毒霸进行检测)
3.金山毒霸可进行查杀防御
总结
通过对本样本的分析,可以知道样本自身使用了很多开源代码,实际由病毒作者编写的代码量很小,极大降低了制作难度,这也是现有非PE攻击的一个普遍特性。
目前来看,非PE攻击已经有白热化趋势,随着js、vbs脚本逐渐被杀软“围堵”,以PowerShell为载体的新一轮攻击已经开始,由于PowerShell的特殊性,现有依靠“白名单策略”构建的防护体系存在“坍塌”的风险,针对PowerShell的防御,将成为一个新的安全研究方向。
截止完稿,样本已经挖了13个门罗币了,市值6000多元。
PS:欢迎大家关注、转发、点赞、转发、收藏等方式交流。
现在挖矿炒币这么火爆,有什么风险吗?
挖矿炒币也是高风险高收益的细分领域,具体有以下几个风险需要注意的:
1、专业矿机的资金投入风险大。数字加密货币,大多都是基于算法和硬盘存储的生产方式来获取收益,所以对机器(矿机)的要求很高,尤其是处理器,像IPFS分布式存储则是对硬盘要求很高,这些资金投入想当大,一台高端的矿机动则十几万呢!
2、所选币种爆矿率的风险。每个币种爆矿率是不一样的,这个和挖矿的竞争业态很有关系,假如你挖矿是比特币,现在比特币矿机非常多本来竞争力就大,加之比特币每四年都在递减出矿率,如果你的矿机算力不足将很难挖到比特币。
3、能耗投入的风险。挖矿是一个高能耗的行业,通常矿机都是要24小时不间断的工作,对电能的需求量非常大,如果没有合理的电价支持,前期挖矿基本上都是亏损的状态。
4、政策变化的风险,目前世界各国对待数字加密货币的态度各不相同,像中国就是严厉禁止的,私自挖矿一经发现一律取缔。而有些国家态度经常变化,比如伊朗和俄罗斯等国,当政策默认的时候你可能就爆赚了,当控制和打击的时候可能就会有风险。
5、挖矿所需质押币的投入风险。很多矿币一旦接入主网,就可以参与挖矿了,假如你的算力和各方面都符合要求的前提下,即使你挖到了矿,你也不可以立刻将挖到的币拿出去卖的。因为主网基本上都有一个规则就是要部分质押币,主网也怕你突然无故断线呀!只有等你挖的币远远大于质押币时,才会逐步释放一部分币给你交易。而这些质押币就是一笔不小的投入呀!就算银行利息就也是风险呀!
6、币市行情对挖矿的风险。币圈的行情是上下波动的,这个大家都很清楚,如果你所挖的币行情不好,或者崩盘了,那自然你挖出来的币也就不值钱了,风险自然就存在。
当然,以上仅仅分析只是挖币可能会产生的各种风险。但如果只要你挖到的加密货币,市场价格足够的高,一切将都是可以解决的问题。
炒币有风险,投资需谨慎!关注我,了解更多财经投资知识!
全球爆发大规模勒索病毒,大家用什么杀毒软件免疫的?有用吗?
使用腾讯电脑管家的勒索病毒免疫工具,近日,国际知名第三方测评认证机构——赛可达实验室发布了2017年9-10月份15款中文PC杀毒软件查杀能力测评报告。在参测的15款杀毒软件中,腾讯电脑管家在“动态测试”、“静态扫描”中以99.94%和99.95%的查杀率的全球最好成绩位居榜首,取得第一。
(赛可达“动态测试”成绩一览)
杀毒软件的病毒查杀能力是保护用户电脑安全的最核心的能力之一。赛可达实验室通过“动态测试”、“静态扫描”两种方式,在不同环境下检测杀毒软件对病毒样本的检测能力。在本次测试中,赛可达实验室选取了当前中国区常见的10000个病毒样本,并在测试样机中安全中了超过16款中国用户常用的软件,最大程度还原中国用户真实的电脑使用环境。在如此严苛的测试条件下,腾讯电脑管家再次刷新了在赛可达评测上的“连胜”记录,超越赛门铁克、卡巴斯基、小红伞等国际老牌杀软,与瑞星并列第一,达成了从2016年12月至今四次评测总成绩全部第一的成就。
(赛可达“静态扫描”成绩一览)
除赛可达测试以外,腾讯电脑管家在其他国际评测中也表现出色。2017年8月,腾讯电脑管家(英文版)以100%的病毒检测率、0%误报正常文件率的优异成绩连续第24次获得VB100认证;之后在AV-C11月公布的清除测试成绩中,以96分(满分100分)的全球最高分列居榜首,累计斩获AV-C测试20个“A+”最高评级。
近年来,不论是赛可达,还是AV-C和VB100,这些国际权威的第三方评测机构的测试环境愈发苛刻,但是参测的杀毒软件成绩却一路走高,定期发布的成绩报告都在向外界传达一种信号:杀毒软件能力在不断提升。其中,以腾讯电脑管家为代表的国产杀软更是以迅猛的发展态势直追国际老牌杀软,从2016年年终至今,稳居世界第一集团军。
在经历了“WannaCry”勒索病毒危机之后,腾讯电脑管家安全技术优势更加凸显。凭借自研杀毒引擎TAV的核心技术支持,对各种复杂的感染型以及木马病毒进行快速查杀,采用先进的匹配算法能快速识别各类病毒。TAV杀毒引擎的出现也打破了杀毒引擎技术被国外老牌杀软垄断的先例,更是让腾讯电脑管家一举跻身世界杀软的第一阵营。
除此之外,腾讯电脑管家还协同腾讯安全联合实验室反病毒实验室、哈勃分析平台,形成了“以TAV杀毒引擎坐镇+前沿技术应用”的新一代威胁检测体系——毒歌反病毒系统,其核心能力来源于TAV杀毒引擎,作为腾讯安全联合实验室反病毒实验室自研的国产杀毒引擎,其采用全新设计的架构,具有高效率检测、高检出率、资源占用少、全面支持各类格式文件等技术特点,不仅可以实现对已知威胁和未知威胁的全平台检测,还能预测病毒的下一步动作,进一步提升打击病毒的能力和效率。
在今年的网络安全事件中,腾讯电脑管家以扎实的安全技术实力为广大用户有效止损,并通过不断完善的安全防护体系为用户提供可靠的安全保障。未来,腾讯电脑管家也将进一步提升安全实力,提升打击恶意病毒能力,在与病毒抗战中主动出击,应对多变的网络安全威胁新形势。
如果你还想了解更多这方面的信息,记得收藏关注本站。