一本万利的黑客“致富经”：挖矿木马横扫网吧怒赚百万 附：挖矿教程

360互联网安全中心发现多款网吧视频播放软件存在挖矿行为，这些软件占用网吧计算机资源挖取数字货币，不仅严重影响计算机的正常工作，造成机器性能下降，耗电增加，而且长时间挖矿还会缩短硬件使用寿命，极大增加网吧运营成本。以目前PC的性能与耗电量来算，用PC挖矿在很大程度是亏损的！

表1展示了其中几款存在挖矿行为的视频播放软件的文件信息。

这些视频播放软件都包含一个名为flashapp.dll的组件，该组件会从服务器下拉挖矿程序并执行。

如图1所示，flashapp.dll通过随机算法选择从哪个服务器上下拉挖矿程序，服务器ip为61.176.222.157和218.24.35.86。我们追踪发现，在2017年7月就已经存在下拉挖矿程序的行为。表2展示了这几个文件最新的md5信息。

挖矿程序从云端获取配置信息，存放配置信息的地址包括hxxp://xiaov.host94.cq6969.com/res/minsc.js, hxxp://tlwg3.host92.cq6969.com/res/minsc.js，hxxp://tlwg.host102.cq6969.com/res/minsc.js。配置内容包括门罗币（XMR）矿池地址、超级现金（SHR）矿池地址、比特币钻石（BCD）矿池地址、云储币（SIA）矿池地址、备用矿池地址、需要检查的进程、需要结束的进程、显卡占用比、文件哈希。图2展示了获取配置内容的代码片段。表3展示云端当前的配置内容。

在持续驻留方面，部分挖矿程序会以服务的形式存在，服务名称与正常系统服务较为相近。图3展示了挖矿程序使用的服务名。

也有部分挖矿程序通过一个名为vm.bat的批处理脚本和一个名为XMR.exe的可执行程序实现持续驻留，这两个文件被释放到一些网吧管理软件的路径下，并以“删除顽固桌面广告图标”，“Steam防卡更新”，“文网卫士”等文件路径名隐蔽自身。当系统启动时，这两个文件会以网吧管理软件的开机自检脚本（程序）的形式运行。表3展示了部分挖矿机实现持续驻留使用的路径。

挖矿行为始于2017年7月，现在仍然处于活跃状态，图4展示了由这类网吧视频播放软件下拉的挖矿程序2017年7月至2017年12月的传播量变化情况。

在这其中，MD5为a634842f57fce38a12b07e9813973bd8的挖矿程序传播量最大，该挖矿程序从2017年8月底开始传播，日传播量最大超过千次。图5展示了该挖矿程序2017年9月1日到2017年12月31日的传播量变化情况。

挖矿程序使用多个不同的虚拟货币钱包地址。以门罗币为例，黑客就使用了数十个不同的门罗币钱包地址，这些钱包中的门罗币数量为1个到200个不等，总价值超过百万人民币。图6展示其中一个门罗币钱包概况。

下图是一台中配机器挖门罗币的收益情况（引用自什么值得挖），可以看出挖矿收益连电费支出都收不回来。网吧成了血汗矿工，而好处都被矿主赚到了。

如果您的网吧发现耗电量异常增加，机器性能下降，可以安装360安全卫士，开启反挖矿防护，解决问题！

360核心安全媒介的投稿

附：

Meshkov透露：

我们发现有220个网站在用户打开他们主页的时候就会开始挖矿，这些网站的活跃用户大约有5亿人。受影响的用户遍布世界，包括美国、中国、南美以及欧洲国家、俄罗斯、印度、伊朗等等。

挖矿收益代替广告收益

据Adguard预计，在他们为期3周的调查过程中，每个运行加密货币挖矿脚本的网站都能赚到约4.3万美元。Meshkov说，他们虽然不至于盈利过百万，但“赚到这笔钱需要耗费的成本几乎为零”。

挖矿能赚到多少？看这个，网管小伙子使用百台网吧高配电脑挖矿。。。

那么网吧的机子到底配置如何呢？i5 6400处理器，8GB四代内存，r9 370挖矿神卡，34寸大屏显示器。

一夜过去了，网友也睡醒了。那么一夜的成果到底如何呢？整晚挖矿收益为13块钱，一个月才391块，还不够网吧一晚上的电费呢，这个网吧小伙估计会被老板炒鱿鱼！

如何挖矿呢？

如果你坚持要挖矿，又不知道怎么挖的新手，网吧挖矿入门教程，

一，要挖矿，首先要定位挖什么币。

现在一般都是挖，eth/etc/sc/zec

这些都可以到虚拟币交易网站上查看当时行情

二，确定好挖什么之后就是买机器了

现在一般流行的

英伟达显卡1060 用于挖 ZEC

ATI 显卡 /470/ 570/ 480/ 580 用于双挖ETH/SC ETC/SC

显卡六张，注意颗粒，据说三星颗粒速度最快

电源长城1250

主板 最好有三个pcix16显卡接品，再加pcie短口

内存 CPU不讲究

三，机器买好后，就是装系统了，如果N卡挖ZEC,推荐WIN7

如果A卡 ，推荐WIN10

最好是MSDN原版系统。

四，显卡驱动与超频

因为是用显卡挖矿，为了追求利益最大化，一般会选择超频，N卡现在用软件超频

A卡的话一般选择刷BIOS，网上有专门帮别人刷BIOS的，简单实惠。

五，系统架好，驱动装好，下面就是申请钱包地址了

钱包地址可以到上面说的交易网站上去申请帐号，申请好帐号后，

以比特尔为例，在你的后面里找到你要挖的币，点充值，他就会跳出一个充值地址，这个地址就可以做为你的钱包地址了。

六，下载挖矿软件