伴隨數(shù)字加密貨幣在全球市場上持續(xù)火爆，挖礦木馬的數(shù)量也急劇增加。近日，騰訊安全反病毒實驗室結(jié)合自身的安全大數(shù)據(jù),，對挖礦木馬的類型,、傳播方式,、攻擊特征進(jìn)行了全面的分析,，并就如何抵御挖礦木馬的攻擊給出了專業(yè)建議,。

首部幣圈大數(shù)據(jù)出爐 國內(nèi)挖礦木馬最愛門羅幣

據(jù)了解，挖礦木馬主要以PC客戶端和網(wǎng)頁腳本的形式存在,，悄悄潛入用戶的電腦中,，定時啟動挖礦程序進(jìn)行計算，大量消耗用戶電腦資源,，導(dǎo)致用戶電腦異常發(fā)熱,、性能變低，運行速度變慢,，使用壽命變短等等,。

經(jīng)過對近期發(fā)現(xiàn)的挖礦木馬進(jìn)行大數(shù)據(jù)分析，騰訊安全反病毒實驗室指出,，挖礦木馬在挖礦過程中使用的進(jìn)程名稱通常對應(yīng)著系統(tǒng)文件,，這是由于挖礦木馬以進(jìn)程注入的方式使用系統(tǒng)文件作為進(jìn)程傀儡來進(jìn)行挖礦。例如排名第一位的進(jìn)程名conhost在很多情況下對應(yīng)著系統(tǒng)的記事本程序notepad.exe,，其他的進(jìn)程名如EthDcrMiner64,、minerd 、xig,、ETHSC,、xmrig等都為標(biāo)準(zhǔn)的挖礦木馬。

(圖：挖礦木馬對應(yīng)的進(jìn)程名)

騰訊安全反病毒實驗室使用其自研的哈勃分析系統(tǒng)對挖礦木馬的工作進(jìn)程進(jìn)行了分析,，并統(tǒng)計了這些挖礦木馬所連接的礦池地址,，發(fā)現(xiàn)國內(nèi)挖礦用戶最喜愛使用的礦池地址為pool.minexmr.com，其對應(yīng)挖取的幣種為門羅幣,。

值得關(guān)注的是,，最受挖礦木馬偏愛的幣種為門羅幣，其次分別是以太幣,、比特幣鉆石,、狗狗幣、超級現(xiàn)金,，其他幣種非常少見,。雖然比特幣名聲在外，然而直接挖比特幣的病毒木馬卻很少,，原因或在于比特幣挖礦難度太高,，不如挖更容易得到的門羅幣來錢快。

(圖：國內(nèi)挖礦木馬活躍礦池地址)

通常情況下,，用戶可通過端口輔助判斷計算機是否有挖礦行為,。騰訊安全反病毒實驗室將挖礦木馬的礦池地址對應(yīng)的端口號進(jìn)行統(tǒng)計,，數(shù)據(jù)顯示3333端口為挖礦木馬最愛使用的端口,，約占所有挖礦礦池連接端口的12%,。從端口區(qū)間上看，30003999之間的端口是挖礦木馬最常使用的端口范圍,，該區(qū)間的端口占挖礦端口的38.7%,。

(圖：挖礦木馬礦池對應(yīng)端口占比)

　　挖礦木馬盯上企業(yè)用戶 騰訊御界高級威脅監(jiān)測系統(tǒng)全面防御

從傳播方式上看，騰訊安全反病毒實驗室發(fā)現(xiàn),，除部分利用MS17010傳播的挖礦木馬蠕蟲及軟件綁架傳播外,，大多數(shù)挖礦木馬更喜歡使用基于Web端的遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行主機掃描，漏洞利用成功后向受害主機投放挖礦木馬,。

對此,，騰訊企業(yè)安全技術(shù)專家建議，個人用戶應(yīng)確保系統(tǒng)及時更新,，使用騰訊電腦管家安裝最新的安全補丁修復(fù)已知的安全漏洞,，可以很大程度上降低風(fēng)險;企業(yè)用戶需及時打好服務(wù)器操作系統(tǒng)、Web服務(wù)端,、開放的服務(wù)的補丁,，可抵擋黑客基于掃描的漏洞利用傳播挖礦木馬的攻擊。

騰訊企業(yè)安全技術(shù)專家指出,，無論采取何種傳播方式,，黑客的挖礦收益取決于被攻擊的受害主機的數(shù)量與性能，因此企業(yè)用戶更容易成為不法分子的攻擊目標(biāo),。騰訊安全針對企業(yè)用戶推出的御界高級威脅檢測系統(tǒng)(http://s.tencent.com/product/gjwxjc/index.html),，是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數(shù)據(jù),，研發(fā)出的獨特威脅情報和惡意檢測模型系統(tǒng),。通過對企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，可及時感知到挖礦木馬的利用和攻擊,，有效保護(hù)企業(yè)網(wǎng)絡(luò)安全,。

(圖：騰訊御界高級威脅監(jiān)測系統(tǒng))

面對不斷肆虐的挖礦木馬，騰訊企業(yè)安全技術(shù)專家表示,，企業(yè)及個人用戶日常應(yīng)養(yǎng)成良好的電腦使用習(xí)慣,，加強網(wǎng)絡(luò)安全防范意識：使用強密碼保護(hù)服務(wù)器賬戶;不訪問被標(biāo)記為高風(fēng)險的惡意網(wǎng)站，不隨意打開來源不明的文件和可疑鏈接;對于可疑文件可使用騰訊電腦管家等安全軟件進(jìn)行掃描,，或者將文件上傳哈勃分析系統(tǒng)(https://habo.qq.com/)查看文件是否存在風(fēng)險,。此外，騰訊電腦管家“反挖礦防護(hù)”功能已覆蓋全版本用戶,，可實時攔截并預(yù)警各類挖礦木馬程序和含有挖礦js腳本網(wǎng)頁的運行,，確保用戶電腦資源不被侵占，擁有輕快的上網(wǎng)體驗。