示意圖,與新聞事件無關。

圖片來源: 

CC 2.0 by Steve Garfield

安全廠商發現一款挖礦軟體,會在用戶發現並試圖移除時將整台電腦搞到當機。

安全廠商Qihoo 360 TotalSecurity實驗至近日攔截到一隻名為WinstarNssmMiner的Monero幣挖礦軟體,散佈速度十分快速,三天內就感染50萬台PC。WinstarNssmMiner以開原碼專案XMRIG實作而成的挖礦軟體,迄今已經挖到133個、價值2.8萬美元的Monero幣。但是它最麻煩的一點是具有偵測並對抗防毒軟體的能力。

這家安全廠商並未說明WinstarNssmMiner散佈的管道,只表示分析WinstarNssmMiner在進入電腦後會偵測有無厲害的防毒軟體產品,像是卡巴斯基或Avast等。如果有的話它會自動停止活動以避免被偵測到,若判斷為較弱的防毒軟體,這隻惡意程式就會關閉防毒軟體。

接著它會在受害電腦的svhost.exe中注入程式碼,建立二個svhost.exe程序,一個執行挖礦的任務,另一個則背景執行,持續偵測防毒軟體。它會將svhost.exe程序設定為CriticalProcess,一旦挖礦行為導致受害者電腦效能大幅降低,讓某些敏感的使用者發現並且想終止它時,Windows 就會關閉電腦,進入當機狀態,這也增加移除的困難度。

安全人員表示,如果使用者沒有很厲害的防毒軟體,就得忍受電腦效能慢得要死以及藍色死亡畫面的風險。


Advertisement

更多 iThome相關內容