加密货币账户突然被盗,很有可能是挖矿木马在捣乱。近日,腾讯御见威胁情报中心捕获了一组具有蠕虫特性的挖矿木马“SecretMiner”,隐藏在色情电子书(.chm文件)中进行传播,劫持中招用户的虚拟货币交易账户,还能自动将病毒下载链接分享到社交平台进行传播。
“SecretMiner”挖矿木马藏身的色情电子书命名取巧,多使用“想不想知道XX之间的秘密”等带有性诱惑、暧昧意味的字眼,在社交媒体上进行大量传播。其隐藏在电子书文档中的恶意代码更利用了较为复杂的技术方法来躲避安全软件的查杀,已使大量网民上当受骗。目前,腾讯电脑管家已率先拦截并查杀该挖矿木马。
(腾讯电脑管家实时拦截该挖矿木马)
通过对捕捉到的病毒样本进行分析,腾讯安全技术专家发现,隐藏在色情电子书(.chm文件)中的恶意代码利用了较为复杂的技术方法,其多个中间组件可直接下载后在内存中执行,无需在本地创建文件,用来躲避安全软件的查杀。一旦网民不慎点击打开此类色情电子书文件,病毒便会自动运行。
“SecretMiner”挖矿木马执行的恶意行为主要包括释放挖矿木马挖门罗币,以及通过云端控制中毒电脑下载安装Chrome浏览器恶意插件,病毒插件安装成功后,一旦用户通过浏览器交易比特币等虚拟加密币,病毒就会尝试替换收款地址,将用户的比特币(或其他加密币)转入自己的账户,其行为如同打劫。
此外,该木马还会尝试盗取用户的facebook帐号信息,并自动在facebook网站分享携带病毒的色情电子书文件下载链接,实现蠕虫式的感染扩散。然而,由于该病毒操控的分享行为多因为网络原因而失败,一定程度上减弱了病毒传播的速度。
(“SecretMiner”挖矿木马的工作流程)
多年来,色情内容与病毒木马黑色产业始终存在着相互寄生的关系,大量的病毒木马以色情内容为诱饵,欺骗网民下载运行。对此,腾讯腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松建议广大用户及币圈网民,不要随意点击来源不明以及疑似色情类的文档,保持腾讯电脑管家等安全软件正常开启状态,可有效拦截此类木马病毒的攻击。
此外,腾讯电脑管家的“反挖矿防护”功能已覆盖全版本用户,可实时拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,保障用户的电脑资源不被侵占,拥有轻快的上网体验。