三万网站含挖矿代码:当你上网的时候,可能就帮黑客挖矿了
全网有超过 3 万家网站内置了挖矿代码,只要用户打开网站进行浏览、操作,网站就会调用电脑或手机的计算资源来进行挖矿,全球约有 5 亿台电脑曾被绑架挖矿。
本文由腾讯新闻、区块律动 BlockBeats 共同出品,作者系区块律动 BlockBeats 0x2,腾讯新闻同步首发。
一家网站的主要收入来源是广告,如果没有人点击广告,就等于没有收入。尤其是一些内容流量网站,就靠着广告活着。
但是广告能给网站带来的收入毕竟有限,穷则思变,他们开始盯上了虚拟货币。全球排名前 1 万的网站中,有 2.2% 的网站正在做这种损人利己的勾当。
区块律动 BlockBeats 统计,截止 7 月 9 日,全网有超过 3 万家网站内置了挖矿代码,只要用户打开网站进行浏览、操作,网站就会调用电脑或手机的计算资源来进行挖矿。根据 Adguard 的数据统计,全球约有 5 亿台电脑曾被绑架挖矿。
流量小一点的网站,每天可以获得几美元的额外收入,多的可以达到数千美元。而代价就是牺牲网站用户的电脑性能和能源,换取门罗币。
浏览即挖矿,如果你在上网的时候觉得自己的电脑和手机莫名其妙地发烫,那么你就要考虑是不是已经被网站利用来挖矿了。
浏览即挖矿,黑客总能找到各种奇怪的资源来牟利
几乎所有的浏览挖矿代码挖的都是门罗币。
门罗币采用的是 Cryptonight 的挖矿算法,这种算法对于 CPU 很友好,非常适合在普通电脑上运行。于是乎,就有开发者打起了歪主意。
他们利用 javascript 编写代码,当用户载入某个网站的时候,也会载入挖矿代码。据最大的门罗币挖矿代码提供商 Coinhive 的数据显示,他们的代码运行效率约等于门罗币矿机的 65%,未来还有一定的提升空间。
虽然在访问网站的时间内,用户只能贡献一点点的算力,但是积少成多,访问量越大越赚钱。
多家挖矿代码提供商都有计算器供开发者预测收入,如果你的网站每天都有 10-20 用户访问的话,每天可以收入 0.3 个 XMR,约 270 块人民币,每个月可以得到 8100 元的收入。
白来的收入,何乐而不为呢?于是乎不少本来广告收入就不多、又没有其他盈利模式的网站开始在网站上运行挖矿代码。
著名的 BT 资源下载网站海盗湾,近日被爆出网站内置了门罗币的挖矿代码。在海盗湾的网站上非常霸道地写着,「只要进入海盗湾网站,你就同意我们使用你的 CPU 进行门罗币挖矿。如果你不同意,你可以立刻离开或者安装 adblocker」。
这段话,只能在海盗湾网站最底端的位置才能看到,而且还被特意调成了小字号。
也就是说,哪怕你只是打开海盗湾看看有没有更新什么资源,你的电脑 cpu 占用也会瞬间飙到 100%,为海盗湾网站创收提供算力,直到你关掉网站。
据了解,被植入挖矿代码的网站中,有 68% 的网站为网站。如果你有浏览网站的习惯,那你也应该注意一下,因为不少网站为了增加收入也会加入挖矿代码。
当你的双手在飞舞颤抖的时候,是否发现自己的电脑已经变得滚烫,或许你根本就没有发现,因为你正在沉迷于别的事情。
除了网站所有者自行添加挖矿代码之外,还有黑客黑入其他网站服务器在代码中恶意植入挖矿木马的。比如上个月高考结束之后,不少高校的网站都被爆出被黑客入侵,考生在查询考试成绩的时候就要为黑客做贡献。
因为查分网站都有分数公开的时间,大量考生都会开着网页等待放榜,所以这类网站比其他博客之类的网站更受欢迎。上个月底,腾讯御见威胁情报中心检测到山东、湖北、河南、黑龙江等多所重点大学的官网被植入挖矿木马。
此外,还有不少游戏外挂的开发者也会在外挂中植入挖矿木马,让很多贪小便宜、贪图享受的用户中招。
除了电脑端,在 Android 手机端也出现了大量包含挖矿木马的 App。360 安全实验室今年 1 月份的数据显示,全网有 400 多种挖矿木马在流行,占 Android 木马总量的 1/3。
网页挖矿劫持服务商,完善的黑产体系
有需求,就有服务,挖矿代码和挖矿木马背后其实有一整个完整的产业链,而且服务非常完善。
打开网页就进行挖矿,其实这个功能不是网站开发者自己开发的,他们使用的都是网页挖矿服务商提供的接口。开发者只需要在网页代码中插入那么一串代码,就可以坐享收入。
网页挖矿服务商给网站开发者提供了各式各样的挖矿服务,比如验证码挖矿、短链接接入、静默挖矿等,只要你敢来,瞬间可以占用你 100% 的电脑资源。
任何产品都有迭代的空间,于是乎,CoinHive 这样的网页挖矿服务提供商也在不断地进化他们的产品,让网站开发者可以更好地隐藏利用用户电脑挖矿的事实,为用户提供更好的服务。
例如,许多网站为了防止垃圾评论,都会采取点击验证码的方式拦截机器人。CoinHive 就提供了类似的反作弊模块,当用户在点击这个按钮的时候就会开启网页挖矿,在验证完成之后,挖矿停止。
如果用户真的有意愿等待发帖或者登陆,是完全能够接受这十几秒的验证时间的,但代价就是十几秒内电脑 CPU 火力全开去挖矿,瞬间升温几十度。
CryptoLoot 还提供静默挖矿功能,可以在用户完全没有察觉的情况下就运行挖矿代码。在 CryptoLoot 的网站上,他们把静默挖矿标榜为自己的一个特色功能,可实现安静不打扰。呵,还真是贴心呢。
挖到矿后就可以开始算钱了,挖矿代码提供商几乎可以为开发者进行即时结算。他们每 2 个小时就可以进行一次分账,在完成抽成之后,可以直接向开发者的钱包里转账门罗币,当然也能以人民币、美元等法币进行提现。
提供商实现了从头到尾的全方面服务,只为网站开发者和黑客提供更好的服务和更高的收入。
但是要知道,这样的行为是违法的。
无论是在国内还是国外,未经用户允许便擅自占用用户的计算资源,可以被定义为是木马病毒。按照先关法律法规,这是违法行为,构成犯罪的还将追究刑事责任。
知名网站都不会用这种卑鄙的手段来获取利益,只有我们上面提到的几种类型的、本身就已经违法的网站才会做这种事情。
无论是挖矿代码提供商还是网站开发者,都明白偷用户电脑资源来挖矿是一件不光彩的事情,所以代码提供商会毫不留情地从挖矿所得中抽走 30%,对于这种大额抽成,网站所有者也欣然接受。
据 PC Magazine 网站预测,CoinHive 一年的抽成收入就可以达到 500 万美元,他们所服务的网站和黑客一年可以产生高达 1 亿人民币。
CoinHive 目前服务 75% 的网页挖矿网站,再加上其他服务商覆盖的网站,整个行业每年盗用用户电脑挖矿的收入可以达到 1.5 亿人民币。
担心电脑被用去挖矿,怎么办?
其实现在有着很多的软件开发者,他们正在帮助你。
如果你正在使用的是Chrome 浏览器,或者基于 chrome 内核的浏览器,都可以安装Adblock、Adblocker、ADP等广告拦截插件来实现恶意代码拦截。比如 AdBlocker 在去年网页挖矿最泛滥的那段时间就更新了算法,在插件中加入了挖矿代码拦截,用户可以免费使用这些拦截插件。
如果你使用的是火狐浏览器,那么可以安装 noscript 插件来限制 Javascript 的运行,将挖矿代码挡在门外。
最后要感谢自己,感谢洁身自好的自己不去浏览一些奇奇怪怪的、令人兴奋的、助你上天入地的网站。
区块链挖矿原来是这么一回事
本文来自 CoinDesk,原文作者:Christine Kim
Odaily 星球日报译者 | Moni
与那些靠炒作、作假等手段“上位”的加密货币项目不同,2014 年推出的门罗币(Monero)一直在不断强化自身隐私功能,也正是凭借这一特点吸引了大批拥趸,市值更是突破了15亿美元。
另一方面,门罗币背后的开发人员也在不断努力为矿工提供更好的服务,根据区块链数据网站 Messari 透露,虽然门罗币创立至今仅有五年时间,但其区块链年挖矿回报已经达到了 6200 万美元。
然而随着专业挖矿硬件设备的出现,门罗币也开始出现其他中心化挖矿的问题,即区块挖掘奖励越来越多地落入到了 ASIC 矿机运营商的手中,而那些较小的、独立的矿工,以及业余参与者却无法获得足够的挖矿资源,导致挖矿奖励越来越两极分化。
为了保持公平的竞争环境,门罗币开发人员此前曾定期通过硬分叉来“躲避”ASIC 矿机的攻击——但最近通过一系列分析结果发现,硬分叉并不能有效阻止那些使用专业挖矿设备的矿工,而且在这场竞赛中,似乎 ASIC 矿机已经处于领先位置了。
门罗币贡献者 Justin Ehrenhofer 表示:
“ASIC 制造商生成专业矿机的速度比我们预想的要快得多,他们只需要一个月时间就能设计、并生产出芯片,通常情况下六个月就可以获得投资回报。”
另一位门罗币贡献者 Diego Salazar 也已经看到了问题所在,他说道:
“首先,我们已经看到现在尝试解决问题的方法是不可持续的……不能一次又一次地通过硬分叉来与 ASIC 矿机对抗。其次,硬分叉虽然可以让挖矿变得去中心化,但是却会在其他地方引出中心化问题,比如在开发人员身上。现在门罗币社区之所以能够支持不断硬分叉,就是因为人们对开发人员还是非常信任的。”
因此,门罗币开发人员正在推进激活一个名为“RandomX”的全新挖矿算法,旨在降低 ASIC 矿机的竞争力。新代码是的基础工作是由 Howard Chu 主要负责,他是计算机软件公司 Symas Corporation 的创始人兼首席技术官,也开发了目前运行门罗币区块链的数据库类型。对于七月份预定的代码冻结时间,Howard Chu 正在进行四种不同的 RandomX 代码审核。
如果一切顺利的话,新算法将会在今年十月投产。
Justin Ehrenhofer 补充说道:
“我们最终会达成共识,RandomX 也肯定会实施,这将使我们保留门罗币的最好机会。但如果失败,那么门罗币可能会转向一个对 ASIC 友好的算法。”
Diego Salazar 则透露,RandomX 是门罗币最后一次努力,如果这次无法将 ASIC 矿机赶出局,他们今后可能就没机会再与 ASIC 矿工对抗了。
Howard Chu 强调说,RandomX 算法设计是以“CPU为中心”的,与专用集成电路(ASIC)相反,中央处理单元(CPU)是一种多用途设计的计算机芯片硬件。Diego Salazar 解释说:
“CPU 就像是一种系列型算力,如今计算机就像是各行各业的千斤顶,但专用集成电路只是在某一个领域里做的非常好。”
Howard Chu 也同意这种看法,他认为 CPU 是世界上分布最广的计算资源,因为现在世界上每一个人的口袋里都有一个智能手机,里面都可以安装使用 RandomX 算法的门罗币挖矿软件,并使用 CPU 和内存来挖矿。
Howard Chu 希望实现最大化去中心化挖矿,他预测至少在未来的三到五年时间里,RandomX 将保留有利于 CPU 矿工而非 ASIC 的有利领先优势。
与此同时,虽然 RandomX 算法主要支持 CPU 矿工,但也不是说一点不支持使用其他芯片的矿工,比如 GPU 矿工。
Howard Chu 表示他针对图形处理单元(GPU)的图形工作负载进行了优化,一般来说,图形工作负载往往是非常顺序化的,数据进入通道的顶端之后就需要对它进行一些“咀嚼”,之后再在通道末端全部“吐”出来,新算法主要强调的是从输入到输出的数据快速传输,几乎是一条直线。
门罗币目前使用的是称为 CryptoNight 的挖矿算法,GPU 矿工在算力和能效方面都领先于 CPU,但可能很多人并不知道 CryptoNight 算法最初设计的目的是为了提高 CPU、而非其他类型硬件的类型。Howard Chu 解释说:
“可能是命运的安排,CryptoNight 在 GPU 上工作的相当好,但没有人会想到 CryptoNight 能在 GPU 上有这样出色的表现。事实上,CryptoNight 挖矿算法是在 2013 年设计的,当时没有人想到 GPU 如今能拥有如此多的内存和如此大的内存带宽,过去那些问题现在早就不是一个很大的障碍了。”
不过,如果 RandomX 挖矿算法能够很快被激活,Howard Chu 预测在门罗币区块链上挖矿的时候,CPU 至少比 GPU 快三倍。这么一来,意味着新算法的部署可能会引发 GPU 矿工的不满,虽然门罗币 GPU 矿工数量不多,但他们却敢于直言。
RandomX 挖矿算法其实会对 ASIC 矿工和 GPU 矿工产生影响,对此, Justin Ehrenhofer 建议 GPU 矿工可以转售自己的挖矿设备,或是尝试重新利用他们的硬件,他表示:
“如果我有一个门罗币 ASIC,可能没有太多经济选择。但是,我不担心门罗币社区分裂,因为 RandomX 是我们可以选择的、最接近的算法,也保留了绝大多数门罗币的理想。”
事实上,Justin Ehrenhofer 和其他人心目里都有一个非常现实的关注点:如果门罗币部署像 RandomX 这样 CPU 友好的挖矿算法,是否有可能导致僵尸网络在门罗币区块链上扩散。
对于这种担忧,Howard Chu 解释说:
“使用 CPU 的计算机数量很大,可能有数百万或数亿台,他们的安全性很差。恶意软件很容易入侵这些计算机,并做一些在特定网络运营商无法做的事情。”
根据 Justin Ehrenhofer 的说法,这些被恶意软件感染的僵尸网络一直是门罗币的一个问题,他继续称:
“目前,门罗币是迄今非法挖矿最严重的加密货币之一,而且问题已经存在好多年了,但 RandomX 挖矿算法并不能阻止人们使用加密劫持和其他恶意软件。”
但 Justin Ehrenhofer 也指出,门罗币目前的挖矿算法 CryptoNight 一直青睐 CPU 和 GPU 挖矿,如果你希望避免受到恶意软件的影响,可以访问门罗币网络和其他相关论坛,上面有很多资源可以为电脑受到威胁的用户提供帮助。
虽然存在很多问题,但部署新挖矿算法 RandomX 已经得到了门罗币社区以外的人士支持,尤其是一些利用 CPU 友好挖矿算法的加密项目,Arweave 就是其中之一,该公司已经通过初始代币发行(ICO)募集了 870 万美元,并且正在测试 RandomX 算法。
Arweave 公司创始人兼首席执行官 Sam Williams 在本月初发布的新闻稿中表示:
“像 RandomX 这样抵制 ASIC 矿工的工作量证明算法,将进一步强化我们永久的、低成本的、防篡改的存储网络。RandomX 可以确保我们在 Arweave网络中的去中心化内容策略能够较好的实施,这个策略就是将权力分布给全球各方。”
对此,Arweave 已经资助了 RandomX 代码四项审计中的一个,审计工作已经正式完成,公开费用约为 80,000 美元,并由安全公司Trail of Bits进行。但是根据 Dan Guido 公司联合创始人兼首席执行官透露,Arweave 审计的最终成本实际上是 28,000 美元。
Sam Williams 解释说:
“我们希望参与其中的审计流程,通过资助给予RandomX帮助,我们可以通过一个小型的公共服务项目,确保在不必担心安全的情况下,让其他加密项目可以看到一个程序化工作量证明算法的实践。”
另外三项审计是通过来自门罗币区众筹捐赠来资助的,总金额为 130,000 美元,由 Kudelski Security,X41 D-Sec和QuarksLab 负责审计,根据 Howard Chu 透露,全部审计工作将在七月份结束。
如果审计顺利完成的话,RandomX 算法就会在门罗币公共测试网络上被弃用,之后将在今年十月份安排主网上线。
实际上,社区对 RandomX 算法在主网发布依然存在一些争议,比如 Justin Ehrenhofer 就认为目前还不确定 RandomX 算法是否能够给门罗币带来真正的好处,因此需要在主网上线之前再进行一些论证,他警告说:
“我们不知道 RandomX 是否能够正常工作,即使所有的审计工作都完成了,然后审计结果也非常不错,但我们并不知道投产之后的实际情况会如何。”
如果 RandomX 算法最终被证明是不成功的,对于 Justin Ehrenhofer 来说,门罗币网络最坏的情况就是转向 ASIC 友好的挖矿算法,也就是类似于目前比特币使用的算法,他开玩笑的说道:
“我觉得如果 RandomX 算法真的失败了,门罗币可能会切换到更适合 ASIC 挖矿的算法,就像比特币社区里许多人说过的那样。”
然而即便有很多潜在困难, Diego Salazar 坚持认为门罗币应该尝试一些新事物,即便可能会面临失败的最终结果,他质疑说:
“如果你不知道哪个算法是最好的,那么我们如何能够在未来拥有一个数字化的、是有的、可替代的好加密货币?门罗币不是优良加密货币的垫脚石,但它可以尝试失败,你知道吗?让我们试一试,最后一次努力。”
安卓平台挖矿蠕虫ADB.Miner勃然而兴,中韩两国成为重灾区
今天比特币大跌了,但是前几天有一类币一天大涨50%,那就是匿名币板块。今天就带大家来盘点一下为什么需要匿名币以及主流匿名币的实现机制。还是那句话,做个明白的韭菜就要多学习。
一、什么是匿名币?
匿名币就是在交易过程中隐藏交易金额、隐藏发送方与接收方的一种特殊的区块链代币。与之对应的就是比特币、以太坊这些“显币”,“显币”能够在区块链浏览器上查看到所有的金额和交易信息。
二、匿名币的需求在哪?
数字货币一个很重要的特性就是匿名机制,能够有效保护用户的隐私,这是数字货币的重要优势。一般人都认为比特币的匿名性很强,但是如果比特币地址和人的一旦挂钩,比特币的匿名性将瞬间消失。更甚者,可以方便地通过比特币区块链公开信息,追索到所有与其有往来的比特币账户。另外,比特币对交易金额并不隐藏,所以,只要知道某人地址,既可以计算出他的比特币资产余额以及资金流动状态。
这对于越来越重视隐私的消费者来说显然是不可以接收的。尤其这几年,全世界都对数据安全非常重视,贩卖用户隐私罪行也是极其严重的。虽然说到匿名币可能大家还大多数想到的是非法交易、灰色交易等见不得光的世界,但是随着区块链的普及,未来大家会结束到功能多匿名币。
三、主流匿名币介绍
匿名币很多,下面我们主要介绍比较有代表性的3中:XMR、DASH和ZEC。
3.1 XMR(门罗币)
说起门罗币,第一印象可能就是黑市了,因为其匿名性的特征备受不法分子的青睐。也正是这个原因,美国最近发布了门罗的调查,美国的交易所和机构也在最近下架了XMR,但是这似乎对于门罗币的价格影响甚微。
门罗币的诞生离不开 Bytecoin。一位化名为“NlCOlas van Saberhagen”的人发布了 CryptoNote 协议,旨在改进比特币的匿名性,第一个基于 CryptoNote 协议诞生的加密货币就是 Bytecoin。所以,相比于比特币,Bytecoin 的匿名性更好,其创始人也同中本聪一样,选择了匿名。然而,Bytecoin 后来缠身,有人发现开发人员正在从该网络中窃取代币,且 80% 的代币已经产出。于是,一位昵称为“thankful_for_today”的用户,硬分叉了 Bytecoin,创建了门罗,并于 2014 年 4 月上线
同比特币一样,门罗币也采用了 PoW 共识机制,但采用的算法不是 SHA-256,而是 CryptoNight 算法。CryptoNight 算法对专业的 ASIC 矿机并不友好,而且门罗币也在一直升级,对抗来自 ASIC 矿机的威胁,这就意味着依靠 CPU、GPU,普通的电脑也能进行门罗币挖矿。
不同于比特币有总量上限(2100 万),门罗币会一直通胀下去,但每区块的挖矿奖励会逐渐降低直至 0.6 门罗币(预计发生在 2022 年下半年,当前的每区块挖矿奖励约 2.5 门罗币 )。
作为一个专注于安全、隐私和不可追踪的加密货币,门罗币的最大特点就是保护隐私,所有的交易不可关联、不可追溯。不可关联,意味着向外发送的两笔交易,其他人无法证明其是否发给同一个收款人;不可追踪,意味着对于任何交易,无法追踪其付款方是谁。
为了保证交易不可关联、不可追踪,门罗币通过环签名技术(Ring Signature)来隐藏发送人的地址,保护发送人的隐私;通过隐地址(Stealth Address)隐藏收款人地址,保护接收方的隐私;通过环机密交易(RCT)来隐藏交易的金额。
3.2 DASH(达世币)
DASH原名叫做暗黑币,是在比特币的基础上做了技术上的改良,具有良好的匿名性和去中心化特性,支持即时交易、以保护用户隐私为目的数字货币,听名字也能感觉出来被黑市所喜。DASH在2014年发布白皮书,发行总量为1890万个。
DASH最显著的两个特点就是:匿名交易、即时交易
1.匿名交易原理
匿名发送首先将你的交易输入打乱面额化。这些面额包含0.001, 0.01, 0.1, 1 和 10 DASH – 就像日常使用中的纸币一样。
然后你的钱包会将需求发送到网络中的特殊节点上,称之为主节点服务器。这些主节点会接到通知你有兴趣混合一定的面额。不会有可识别的信息发送给主节点,所以主节点也不会知道你是谁。
当有其他两个人发出了类似的信息,显示他们也希望混合同样的面额时,混币便开始了。主节点将币混在一起,并给这三个用户的钱包指令,让它们把这些现在已经转化了的币回付给自己。你的钱包将这些面额直接付给自己,但是地址已经改变(称为变更地址)。
为了彻底模糊你的资金,你的钱包必须重复每次面额化过程数次。每次过程完成称为一”轮“。每轮匿名发送将指数级加大追踪你资金来源的难度。用户可选择 1-16 轮混合。
这个混币过程是不需要你进行任何干预的。当你需要交易时,你的资金已经匿名化了。不需要额外的等候时间。
注意匿名支付的交易都会取整数,所以所有的交易输入都会被使用。任何超出部分都会被用于交易手续费。
重要:你的钱包只能含有1000个“变更地址”。每一次混币发生,一个变更地址便会被用掉。一旦他们全部被用掉,你的钱包就必须创建更多的地址。但是,你只有让自动备份生效,才可以做到这一点。同样的,如果用户让备份失效,匿名支付失效。
2.即时交易原理
传统的去中心化加密数字货币都要等上一段时间,通过足够多的区块广播来保证交易是不可撤消的,并且验证这些币没有在别的地方已经被花掉而产生双重花费的可能。这个过程很费时,通常被广泛接受的六步确认会花上15分钟到1个小时不等的时间。其它的加密数字货币都是通过网络上不同程度的中心化处理来实现交易确认时间加速。
得力于主节点的双层网络架构,达世币不会遇到其中任何一种限制。主节点会被召集组成仲裁连的随机节点来检查所提交的交易是否有效。如果有效,主节点便会锁住用于交易的输出并将信息在网络上公布,高效地保证了交易会列入到随后的区块中,并且在确认期内不允许再花费这些资金。
即时支付技术使得像达世币这样的数字货币,在销售点的支付环境下,完全可以媲美那些接近瞬时支付的信用卡,而且不依赖任何中央集权机构。通过将交易确认时间长达几个小时(比特币)缩短到仅仅几秒,达世币被商户广泛接受的现状和即时支付技术将给加密数字货币带来一场革命
3.3 ZEC(大零币)
AMD ThreadRipper 16核心挖矿效率奇高:一年半回本
2017年中期,永恒之蓝(WannaCry)勒索病毒的疯狂传播让人记忆犹新。数字货币的火爆和挖矿的热潮,吸引来不少黑客的觊觎,挖矿蠕虫于是随之兴起。除了计算机之外,现在智能手机、电视、路由器等都可以作为成为挖矿机。
近日,360监测到一个安卓平台挖矿蠕虫ADB.Miner。它最早的感染时间可回溯到1月31日左右,当前这波蠕虫式感染从2月3日下午15:00左右开始被360系统检测到。此前很少有安卓平台的挖矿蠕虫,因此该蠕虫具备一定的标杆意义。
据360给出的数据,现在该病毒日活感染量在增长到7千(02-05 15:00 GMT+8)后不再快速增长。这个数字已经保持稳定了超过48小时,可以认为蠕虫已经经过了爆发期,进入稳定期。中国(39%)和韩国(39%)是该该病毒祸害的重灾区。
以下是受感染设备的地图分布,颜色越深代表受感染设备越多。
据360网络安全研究院研究员李丰沛介绍,目前能够确认的被感染设备都是安卓设备,能够确认种类的都是电视盒子,大约占一半左右,其他设备不能确认是何种类。
该病毒从安卓设备上ADB调试接口的工作端口5555传染,恶意代码在完成植入后,会继续扫描5555 adb 端口,完成自身的传播。被感染后的核心功能就是利用窃取到的计算资源挖门罗币。目前,尚不清楚这些5555端口是怎么打开的,猜测很大程度上是消费者这一端打开的。
该蠕虫没有上联控制服务器,仅通过单一钱包地址获取收益。不同于2017年4月底爆发的多重僵尸网络MyKings,这种代码布局更加紧凑,制作成本小,因此犯罪门槛也更低。
据360内多个团队联合分析,该病毒主要是想窃取设备的算力,并没有直接从钱包里窃取代币。到目前为止,该蠕虫的指定钱包还没有收到矿池的第一笔付款。相比之下,MyKings截至今年1月已经收获了8000枚门罗币。以当前门罗币200.61美元的价格计算,MyKings已经获取了超过1000万元的收益。
迄今为止,多数挖矿蠕虫大多都瞄准了门罗币。其中的原因,一来是门罗币挖矿的成本较低,在当前挖矿成本渐涨、代币币值不稳的趋势下,挖矿成本低能更好地保证收益;二来是因为门罗币具备很高的隐秘性,只有交易双方能看到具体交易金额,不易追踪。
截图来自CoinMarketCap,门罗币当前价格为200.61美元,
对于普通用户来说,由于该蠕虫的幕后黑手并没有多大野心,只是窃取了一些设备的算力。因此,设备被感染后很难被发现,只有轻微的卡顿出现。
对于用户一端来说,最好的防范措施,就是确保关掉 5555 ADB调试接口,如果发现该蠕虫植入的恶意程序则立即清除。
虽然ADB.Miner掀起的风波可谓是有惊无险,但是这次蠕虫的侵袭却给让大家意识到,之前普遍被认为保护很好5555接口,有可能成为一个新的病毒突破口。因此,日后有可能产生更多蠕虫,利用这个接口袭扰挖矿机。
