2017年中期,永恒之蓝(WannaCry)勒索病毒的疯狂传播让人记忆犹新。数字货币的火爆和挖矿的热潮,吸引来不少黑客的觊觎,挖矿蠕虫于是随之兴起。除了计算机之外,现在智能手机、电视、路由器等都可以作为成为挖矿机。
近日,360监测到一个安卓平台挖矿蠕虫ADB.Miner。它最早的感染时间可回溯到1月31日左右,当前这波蠕虫式感染从2月3日下电脑午15:00左右开始被360系统检测到。此前很少有安卓平台的挖矿蠕虫,因此该蠕虫具备一定的标杆意义。
据360给出的数据,现在该病毒日活感染量在增长到7千(02-电脑05 15:00 GMT+8)后不再快速增长。这个数字已经保持稳定了超过48小时,可以认为蠕虫已经经过了爆发期,进入稳定期。中国(39%)和韩国(39%)是该该病毒祸害的重灾区。
以下是受感染设备的地图分布,颜色越深代表受感染设备越多。
据360网络安全研究院研究员李丰沛介绍,目前能够确认的被感染设备都是安卓设备,能够确认种类的都是电视盒子,大约占一半左右,其他设备不能确认是何种类。
该病毒从安卓设备上ADB调试接口的工作端口5555传染,恶意代码在完成植入后,会继续扫描5555 adb 端口,完成自身的传播。被感染后的核心功能就是利用窃取到的计算资源挖门罗币。目前,尚不清楚这些5555端口是怎么打开的,猜测很大程度上是消费者这一端打开的。
该蠕虫没有上联控制服务器,仅通过单一钱包地址获取收益。不同于2017年4月底爆发的多重僵尸网络MyKings,这种代码布局更加紧凑,制作成本小,因此犯罪门槛也更低。
电脑电脑据360内多个团队联合分析,该病毒主要是想窃取设备的算力,并没有直接从钱包里窃取代币。到目前为止,该蠕虫的指定钱包还没有收到矿池的第一笔付款。相比之下,MyKings截至今年1月已经收获了8000枚门罗币。以当前门罗币200.61美元的价格计算,MyKings已经获取了超过1000万元的收益。
迄今为止,多数挖矿蠕虫大多都瞄准了门罗币。其中的原因,一来是门罗币挖矿的成本较低,在当前挖矿成本渐涨、代币币值不稳的趋势下,挖矿成本低能更好地保证收益;二来是因为门罗币具备很高的隐秘性,只有交易双方能看到具体交易金额,不易追踪。
截图来自CoinMarketCap,门罗币当前价格为200.61美元,
对于普通用户来说,由于该蠕虫的幕后黑手并没有多大野心,只是窃取了一些设备的算力。因此,设备被感染后很难被发现,只有轻微的卡顿出现。
对于用户一端来说,最好的防范措施,就是确保关掉 5555 ADB调试接口,如果发现该蠕虫植入的恶意程序则立即清除。
虽然ADB.Miner掀起的风波可谓是有惊无险,但是这次蠕虫的侵袭却给让大家意识到,之前普遍被认为保护很好5555接口,有可能成为一个新的病毒突破口。因此,日后有可能产生更多蠕虫,利用这个接口袭扰挖矿机。
电脑 电脑