小心你的电脑中挖矿木马

昨天一台服务器经常出现网络联接不上的问题，检查后发现有一个进程xmr86.exe进程占用CPU100%，网上一搜原来是中了挖矿病毒，此时下载360、电脑管家、金山毒霸后安装均告失败，提示文件被破坏，无奈学习大量文章后，下载了一款火绒安全软件，很快就把病毒消灭，小编又长了新姿势。

如何判断？

首先，我们自己该怎么判断电脑是否已经中了挖矿病毒了呢？中了挖矿病毒之后，主要由以下几个特征：

1、电脑中C盘空间骤降，且在C盘Ethash文件夹内，发现存在大量的1G左右的文件；

2、电脑闲置状态时，风扇转速增快，电脑发热增加，加速球数字显示100%。非闲置状态时，恢复正常。如果发现电脑C盘里有Ethash文件夹，且没有在使用电脑的时候，CPU或GPU的使用率达到100%，那就可以确诊是患上了挖矿病毒：Win32.Troj.EthashMiner.a。

参考资料：

如果说勒索病毒是暴露在大众视野中的“恶魔”，那么挖矿木马就是潜藏在阴暗之处的“寄生虫”。在2017年这个安全事件频发的年份，除了受到全世界关注的“WannaCry”勒索病毒的出现之外，一大波挖矿木马也悄然崛起。不同于勒索病毒的明目张胆，挖矿木马隐蔽在几乎所有安全性脆弱的角落中，悄悄消耗着计算机的资源。由于其隐蔽性极强，大多数PC用户和服务器管理员难以发现挖矿木马的存在，这也导致挖矿木马数量的持续上涨。本文将通过多个方面介绍挖矿木马的种类，发展趋势，危害以及防范措施。

0×2 挖矿木马概述

2009年，比特币横空出世。得益于其去中心化的货币机制，比特币受到许多行业的青睐，其交易价格也是一路走高。图1展示了比特币从2013年7月到2017年12月交易价格（单位：美元）变化趋势。

图1 比特币2013年-2017年交易价格变化趋势

由于比特币的成功，许多基于区块链技术的数字货币纷纷问世，例如以太币，门罗币等。这类数字货币并非由特定的货币发行机构发行，而是依据特定算法通过大量运算所得。而完成如此大量运算的工具就是挖矿机程序。

挖矿机程序运用计算机强大的运算力进行大量运算，由此获取数字货币。由于硬件性能的限制，数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币，因此，一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中，利用受害者计算机的运算力进行挖矿，从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。

挖矿木马最早出现于2013年。图2展示了自2013年开始国内披露的大规模挖矿木马攻击事件数量。

图2 2013年-2017年国内披露的挖矿木马攻击事件

由于数字货币交易价格不断走高，挖矿木马的攻击事件也越来越频繁，不难预测未来挖矿木马数量将继续攀升。

对于挖矿木马而言，选择一种交易价格较高且运算力要求适中的数字货币是短期内获得较大收益的保障。图3展示了挖矿木马所选择的币种比例。

图3 挖矿木马所选币种比例

不难看出，门罗币是最受挖矿木马亲睐的币种。黑客之所以选择门罗币作为目标主要有以下几个原因：

（1）门罗币交易价格不俗。虽然门罗币在交易价格上不比比特币，但其依然保持在一个较高的交易价格。

（2）门罗币是一种匿名币，安全性更高。匿名币是一种在交易过程中隐藏交易金额、隐藏发送方与接收方的一种特殊的区块链代币。由于这样一个特性，任何人都无法在区块链浏览器中查找到门罗币交易的金额和交易双方的地址。这也为黑客转移门罗币提供便利。

（3）门罗币是基于CryptoNight 算法运算得到的，通过计算机的CPU和GPU即可进行该算法的运算而不需要其他特定的硬件支持。

（4）互联网上有许多优秀的开源门罗币挖矿项目，黑客可以“即拿即用”。

（5）暗网市场支持门罗币交易。

由于门罗币的这些“优点”，越来越多的挖矿木马选择门罗币作为目标。以上资料转载自FreeBuf.COM