挖礦木馬借色情電子書傳播 用戶比特幣賬戶被盜

　　加密貨幣賬戶突然被盜，很有可能是挖礦木馬在搗亂。近日，騰訊御見(jiàn)威脅情報(bào)中心捕獲了一組具有蠕蟲特性的挖礦木馬“SecretMiner”，隱藏在色情電子書(.chm文件)中進(jìn)行傳播，劫持中招用戶的虛擬貨幣交易賬戶，還能自動(dòng)將病毒下載鏈接分享到社交平臺(tái)進(jìn)行傳播。

　　“SecretMiner”挖礦木馬藏身的色情電子書命名取巧，多使用“想不想知道XX之間的秘密”等帶有性誘惑、曖昧意味的字眼，在社交媒體上進(jìn)行大量傳播。其隱藏在電子書文檔中的惡意代碼更利用了較為復(fù)雜的技術(shù)方法來(lái)躲避安全軟件的查殺，已使大量網(wǎng)民上當(dāng)受騙。目前，騰訊電腦管家已率先攔截并查殺該挖礦木馬。

　　(騰訊電腦管家實(shí)時(shí)攔截該挖礦木馬)

　　通過(guò)對(duì)捕捉到的病毒樣本進(jìn)行分析，騰訊安全技術(shù)專家發(fā)現(xiàn)，隱藏在色情電子書(.chm文件)中的惡意代碼利用了較為復(fù)雜的技術(shù)方法，其多個(gè)中間組件可直接下載后在內(nèi)存中執(zhí)行，無(wú)需在本地創(chuàng)建文件，用來(lái)躲避安全軟件的查殺。一旦網(wǎng)民不慎點(diǎn)擊打開(kāi)此類色情電子書文件，病毒便會(huì)自動(dòng)運(yùn)行。

　　“SecretMiner”挖礦木馬執(zhí)行的惡意行為主要包括釋放挖礦木馬挖門羅幣，以及通過(guò)云端控制中毒電腦下載安裝Chrome瀏覽器惡意插件，病毒插件安裝成功后，一旦用戶通過(guò)瀏覽器交易比特幣等虛擬加密幣，病毒就會(huì)嘗試替換收款地址，將用戶的比特幣(或其他加密幣)轉(zhuǎn)入自己的賬戶，其行為如同打劫。

　　此外，該木馬還會(huì)嘗試盜取用戶的facebook帳號(hào)信息，并自動(dòng)在facebook網(wǎng)站分享攜帶病毒的色情電子書文件下載鏈接，實(shí)現(xiàn)蠕蟲式的感染擴(kuò)散。然而，由于該病毒操控的分享行為多因?yàn)榫W(wǎng)絡(luò)原因而失敗，一定程度上減弱了病毒傳播的速度。

　　(“SecretMiner”挖礦木馬的工作流程)

　　多年來(lái)，色情內(nèi)容與病毒木馬黑色產(chǎn)業(yè)始終存在著相互寄生的關(guān)系，大量的病毒木馬以色情內(nèi)容為誘餌，欺騙網(wǎng)民下載運(yùn)行。對(duì)此，騰訊騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松建議廣大用戶及幣圈網(wǎng)民，不要隨意點(diǎn)擊來(lái)源不明以及疑似色情類的文檔，保持騰訊電腦管家等安全軟件正常開(kāi)啟狀態(tài)，可有效攔截此類木馬病毒的攻擊。

　　此外，騰訊電腦管家的“反挖礦防護(hù)”功能已覆蓋全版本用戶，可實(shí)時(shí)攔截并預(yù)警各類挖礦木馬程序和含有挖礦js腳本網(wǎng)頁(yè)的運(yùn)行，保障用戶的電腦資源不被侵占，擁有輕快的上網(wǎng)體驗(yàn)。