發現「全能挖礦木馬」 挖礦泄密DDoS攻擊樣樣精通

來自專欄騰訊安全聯合實驗室

近日，騰訊御見威脅情報中心監測到一款來自俄羅斯的挖礦木馬，正通過Windows、Office等軟體註冊機、破解工具大肆傳播。除了挖礦外，該木馬還會泄露用戶隱私、竊取加密貨幣錢包信息，甚至還能遠程控制中毒電腦發起DDoS攻擊，堪稱病毒界的「全能選手」。該挖礦木馬已入侵全球至少40多個國家的數萬台電腦設備，影響範圍正在進一步擴大。

功能強大 集常見木馬病毒的危害於一身

這款挖礦木馬的功能十分強大，不僅能控制中毒電腦挖取門羅幣，還會獲取中毒電腦IP地址、機器名、桌面截圖、進程列表等隱私信息並上傳到不法黑客的伺服器；竊取包括比特幣、門羅幣、以太坊幣等在內的流行數字加密貨幣的錢包信息；分析瀏覽器歷史記錄，嘗試獲取中毒電腦登錄過的各種賬號密碼，獲取信用卡信息；利用中毒電腦發起DDoS攻擊等，幾乎集常見木馬病毒的危害於一身。

該挖礦木馬的工作原理

通過對該挖礦木馬進行溯源分析發現，該木馬主要通過Windows、Office、CorelDraw等常用辦公和繪圖軟體的註冊機、激活工具、破解工具傳播，還會偽裝成繪聲繪影、PowerDVD、AnyToISO等工具軟體的各類破解版和完整版。用戶一旦不慎安裝了帶毒軟體，木馬就會在其電腦中運行。

挖礦木馬的作者擅長病毒黑產技術

該挖礦木馬的作者為俄羅斯黑客Foxovsky（伏克斯沃夫斯基），通過其在俄語論壇上留下的信息可知，Foxovsky非常擅長木馬製作、滲透和逆向工程等病毒黑產技術。

值得關注的是，Foxovsky還擁有專職的銷售搭檔，其在黑產相關論壇中明碼標價售賣該挖礦木馬，售價僅為5000盧布（摺合人民幣513元），且還在以低價招募該木馬的代理商。

盜版破解工具中有較高概率會被不法分子植入病毒木馬程序，謹慎使用Windows、Office等軟體的破解工具、註冊機和相關激活工具，盡量避免下載來源不明的軟體程序，能夠有效防止木馬病毒入侵。