吃鸡外挂藏木马，20万电脑中毒黑产案解决

7月25日，比特币价格打破8500美元大关，其价格在7月以来现已上涨超40%。虚拟货币繁荣背面，黑色数字工业链却现已悄然将方向转向“挖矿”范畴。

7月初，山东省青州警方破获了一起制造木马病毒感染普通电脑，并利这些电脑搁置的CPU资源“挖矿”的案子。涉案的大连某高新技术企业操控了包括389万台电脑的“僵尸网络”，涉案案值超1500万元。

新京报记者采访了相关办案民警、电脑安全专家等，揭露了黑色数字工业链发展的上下游，以及黑产怎么环绕互联网流量进行变现。

吃鸡“外挂”暗藏“挖矿”木马
山东省青州市公安局的李警官介绍，在这起案子中，犯罪嫌疑人杨某仿冒“爱奇艺”编写了“酷艺VIP影视”程序，并供给吃鸡游戏的“外挂”供网民免费运用。然而，该程序暗藏木马程序“挖矿”，专门挖HSR虚拟货币。杨某在案发之前现已挖取了8551.9枚HSR币，总价值高达1500万元。

该案中，杨某利用其身份为“天下网吧论坛”版主和大连晟平网络科技有限公司的推行，将带有木马病毒的软件大规模传播。晟平网络的外表业务是广告营销和软件推行，但私自植入了“tlMiner”挖矿木马程序。经过该企业及其代理商的推行，超过100万台电脑感染了挖矿木马。

电脑为他人“挖矿”，用户却不知情
警方经过网络安全大数据监控发现了该案的头绪。腾讯电脑管家及安全大脑在2017年年底发现“tlMiner”木马在一天之内感染了超过20万台电脑，并具有私自挖矿和以正常应用程序带木马等行为。警方经过近半年时间的侦破，最终告破了这起案子。

腾讯电脑管家的高级安全专家李铁军介绍说，与曩昔的木马程序比较，挖矿木马不会改动用户首页或躲藏文件，乃至具有选择性占用用户内存的特色，不易被感染者发现。这种病毒直接挖矿改变了数字黑产的变现方法，无需再与下游企业结算，能够直接卖币获利。

虽然现在该木马感染用户计算机后只占用搁置CPU资源来挖矿，但与其他木马类似，服务器能够对被感染计算机进行任何操作，比如调用摄像头、查看重要文件等。一起，挖矿对电脑硬件配置要求较高，主机经常长期高负荷运转，显卡、主板、内存等硬件可能会提早报废，对电脑形成损害。

此外，这类挖矿木马除了植入在游戏外挂中，还会植入在声称能够观看付费内容的“仿冒”播放器中。这些软件在运行时会提醒用户“暂时关闭安全软件、防火墙等”，让用户的电脑处于无防护状态。

“挖矿”木马成为黑产更直接的变现手法
据腾讯电脑管家的李铁军介绍，现在市面上的木马病毒一般只做两种工作，一种是挖矿，另一种是勒索。去年迸发的勒索病毒就是一种木马病毒，侵略用户计算机后，经过检测用户信息了解用户身份，然后对高净值人群进行勒索。今年以来，勒索病毒迸发的规模减少，但精准性增强，更多针对政府、医院和企业的高净值人群。

业界专家介绍说，曩昔的木马制造者会经过操控“僵尸网络”进行DDoS进犯、弹出广告弹窗以及私自下载应用软件等手法来变现。但现在这些行为都在减少，这反映出木马黑产背面的工业链在变短。

从变现的角度来看，曩昔的木马黑产需要经过各种手法侵略电脑、操控“僵尸网络”，然后转让给其他操控者，经过DDoS进犯获利，或者给广告主做弹窗广告，给应用程序做不合法下载，最后由下游公司进行结算。而出现了挖矿木马后，黑产上游能够直接将挖到的虚拟币存入钱包，直接交易变现。

李铁军告诉新京报记者：“木马行业的黑产都是环绕流量变现展开的，互联网工业往哪个方向走，黑色工业就往哪个方向走，基本上是一一对应的关系。”前期的黑产主要是操控他人的机器弹广告，因为前期的互联网软件主要经过广告弹窗来变现。后来软件分发成为趋势，黑产在用户不知情的情况下装了许多软件。现在，挖矿改变了整个黑产的变现方式，变现更加直接。“锁定主页、弹窗广告、下载软件等行为变少了，因为都在挖矿。”

此时快讯

【金色晨讯 | 7月27日隔夜重要动态一览】21:00-7:00关键：SBF、鲍威尔、CoinsPaid、众议院
1. Ripple首席法律官：SEC上诉将对Ripple有利；
2. 美联邦检察官要求在SBF受审前几个月对其进行拘留；
3. 加拿大金融管理局发布加密资产风险监管指导方针草案；
4. 鲍威尔：如果数据显示有需要，我们可能会在9月份加息；
5. 美金融服务委员会主席：传统银行将从稳定币法案中受益；
6. 以加密为重点的反洗钱立法已进入美参议院版本的年度国防预算；
7. CoinsPaid：黑客攻击为Lazarus Group策划，客户资金完好无损；
8. Blockchain Capital重塑品牌，并推出投后支持项目“BCAP Build”；
9. 数据：Stellar、Ripple和Solana投资基金的管理规模在7月份出现飙升；
10. 众议院金融服务委员会主席：作为投资合同提供的加密货币不会成为证券。