伴隨數字加密貨幣在全球市場上持續火爆，挖礦木馬的數量也急劇增加。近日，騰訊安全反病毒實驗室結合自身的安全大數據，對挖礦木馬的類型、傳播方式、攻擊特征進行了全面的分析，并就如何抵御挖礦木馬的攻擊給出了專業建議。

首部幣圈大數據出爐 國內挖礦木馬最愛門羅幣

據了解，挖礦木馬主要以PC客戶端和網頁腳本的形式存在，悄悄潛入用戶的電腦中，定時啟動挖礦程序進行計算，大量消耗用戶電腦資源，導致用戶電腦異常發熱、性能變低，運行速度變慢，使用壽命變短等等。

經過對近期發現的挖礦木馬進行大數據分析，騰訊安全反病毒實驗室指出，挖礦木馬在挖礦過程中使用的進程名稱通常對應著系統文件，這是由于挖礦木馬以進程注入的方式使用系統文件作為進程傀儡來進行挖礦。例如排名第一位的進程名conhost在很多情況下對應著系統的記事本程序notepad.exe，其他的進程名如EthDcrMiner64、minerd 、xig、ETHSC、xmrig等都為標準的挖礦木馬。

（圖：挖礦木馬對應的進程名）

騰訊安全反病毒實驗室使用其自研的哈勃分析系統對挖礦木馬的工作進程進行了分析，并統計了這些挖礦木馬所連接的礦池地址，發現國內挖礦用戶最喜愛使用的礦池地址為pool.minexmr.com，其對應挖取的幣種為門羅幣。

值得關注的是，最受挖礦木馬偏愛的幣種為門羅幣，其次分別是以太幣、比特幣鉆石、狗狗幣、超級現金，其他幣種非常少見。雖然比特幣名聲在外，然而直接挖比特幣的病毒木馬卻很少，原因或在于比特幣挖礦難度太高，不如挖更容易得到的門羅幣來錢快。

（圖：國內挖礦木馬活躍礦池地址）

通常情況下，用戶可通過端口輔助判斷計算機是否有挖礦行為。騰訊安全反病毒實驗室將挖礦木馬的礦池地址對應的端口號進行統計，數據顯示 3333 端口為挖礦木馬最愛使用的端口，約占所有挖礦礦池連接端口的12%。從端口區間上看，3000- 3999 之間的端口是挖礦木馬最常使用的端口范圍，該區間的端口占挖礦端口的38.7%。

（圖：挖礦木馬礦池對應端口占比）

挖礦木馬盯上企業用戶 騰訊御界高級威脅監測系統全面防御

從傳播方式上看，騰訊安全反病毒實驗室發現，除部分利用MS17- 010 傳播的挖礦木馬蠕蟲及軟件綁架傳播外，大多數挖礦木馬更喜歡使用基于Web端的遠程代碼執行漏洞進行主機掃描，漏洞利用成功后向受害主機投放挖礦木馬。

對此，騰訊企業安全技術專家建議，個人用戶應確保系統及時更新，使用騰訊電腦管家安裝最新的安全補丁修復已知的安全漏洞，可以很大程度上降低風險；企業用戶需及時打好服務器操作系統、Web服務端、開放的服務的補丁，可抵擋黑客基于掃描的漏洞利用傳播挖礦木馬的攻擊。

騰訊企業安全技術專家指出，無論采取何種傳播方式，黑客的挖礦收益取決于被攻擊的受害主機的數量與性能，因此企業用戶更容易成為不法分子的攻擊目標。騰訊安全針對企業用戶推出的御界高級威脅檢測系統，是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。通過對企業內外網邊界處網絡流量的分析，可及時感知到挖礦木馬的利用和攻擊，有效保護企業網絡安全。

（圖：騰訊御界高級威脅監測系統）

面對不斷肆虐的挖礦木馬，騰訊企業安全技術專家表示，企業及個人用戶日常應養成良好的電腦使用習慣，加強網絡安全防范意識：使用強密碼保護服務器賬戶；不訪問被標記為高風險的惡意網站，不隨意打開來源不明的文件和可疑鏈接；對于可疑文件可使用騰訊電腦管家等安全軟件進行掃描，或者將文件上傳哈勃分析系統查看文件是否存在風險。此外，騰訊電腦管家“反挖礦防護”功能已覆蓋全版本用戶，可實時攔截并預警各類挖礦木馬程序和含有挖礦js腳本網頁的運行，確保用戶電腦資源不被侵占，擁有輕快的上網體驗。

免責聲明：本文為廠商推廣稿件，企業發布本文的目的在于推廣其產品或服務，站長之家發布此文僅為傳遞信息，不代表站長之家贊同其觀點，不對對內容真實性負責，僅供用戶參考之用，不構成任何投資、使用等行為的建議。請讀者使用之前核實真實性，以及可能存在的風險，任何后果均由讀者自行承擔。