吃雞“外掛”藏木馬 一天20萬電腦中毒

7月25日，比特幣價格突破8500美元大關，其價格在7月以來已經上漲超40%。虛擬貨幣繁榮背後，黑色數字產業鏈卻已經悄然將方向轉向“挖礦”（利用電腦硬體計算出虛擬貨幣的位置並獲取該貨幣的過程）領域。

7月初，山東省青州警方破獲了一起製造木馬病毒感染普通電腦，並利這些電腦閑置的CPU資源“挖礦”的案件。涉案的大連某高新技術企業控制了包含389萬台電腦的“僵屍網絡”（指被木馬感染，可由遠程控制的電腦網絡），涉案案值超1500萬元。

新京報記者採訪了相關辦案民警、電腦安全專家等，揭露黑色數字產業鏈發展的上下遊，以及黑產如何圍繞互聯網流量進行變現。

新京報記者 白金蕾 實習生 趙煒

吃雞“外掛”暗藏“挖礦”木馬

“我們是按‘非法控制他人電腦’罪名立案的。”山東省青州市警察局的李警官介紹，該案犯罪嫌疑人楊某，仿冒“愛奇藝”編寫“酷藝VIP影視”，還提供吃雞遊戲“外掛”程式（遊戲作弊軟體）供網民免費使用，但楊某在程式中暗置木馬程式“挖礦”，專門挖HSR虛擬貨幣。至案發，楊某已挖取了8551.9枚HSR幣（最高252元/枚，目前42元/枚）。

該案中，楊某將帶有木馬病毒的軟體大規模擴散，是由於其“天下網咖論壇”版主的身份，以及大連晟平網絡科技有限公司（下稱晟平網絡）的推廣。晟平網絡表面業務是廣告行銷、軟體推廣，背地裡卻在其增值客戶端和推廣的軟體中植入“tlMiner”挖礦木馬。經過該企業及其3500個代理商的推廣，挖礦木馬感染了超100萬台電腦。

據李警官介紹，晟平網絡共控制了389萬台電腦的“僵屍網絡”，經濟收益超1500萬。其中，利用高性能電腦挖取DGB幣（極特幣）、DCR幣（德賽幣）、SC（雲產幣）幣2600餘萬枚；其他200餘萬台進行廣告彈窗、應用下載業務。而單獨售賣“外掛”，單月單人僅能獲益不到百元。

電腦為別人“挖礦”，用戶卻不知情

據警方資訊，該案的線索來自於網絡安全大數據監控。2017年年底，騰訊電腦管家（PC端）及安全大腦（雲端）發現“tlMiner”木馬在一天之內感染超20萬台電腦，並且具有暗中挖礦、以正常應用程式帶木馬等行為。警方經過近半年時間的偵破，上述案件告破。

騰訊電腦管家高級安全專家李鐵軍介紹，相較過去的木馬程式，挖礦木馬不會改動用戶首頁、隱藏檔案，甚至具有選擇性佔用用戶記憶體的特點，不易被感染者發現；此類病毒直接挖礦改變了數字黑產的變現方式，無需再與下遊企業結算，可直接賣幣獲利。

雖然目前該木馬感染用戶電腦後，隻佔用閑置CPU資源挖礦，但與其他木馬類似，伺服器可對被感染電腦做任何事情，比如調用攝影頭、查看重要檔案等。同時，挖礦對電腦硬體配置要求比較高，主機經常長期高負荷運轉，顯卡、主機板、記憶體等硬體會提前報廢，對電腦的損害大。

此外，此類挖礦木馬除了植入在遊戲外掛中，還會植入在號稱可以看影片網站付費內容的“仿冒”播放器中。以上軟體在運行時，都會提醒用戶“暫時關閉安全軟體、防火牆等”，讓用戶電腦處於無防護狀態。

“挖礦”木馬成黑產更直接變現手段

“現在，市面上的木馬病毒一般隻做兩種事情，一種是挖礦，一種是勒索”，李鐵軍告訴新京報記者。去年大面積爆發的勒索病毒就是木馬病毒，只是其在入侵用戶電腦後，通過檢測用戶資訊，了解用戶身份，進而對高淨值人群進行勒索。今年以來，勒索病毒大面積爆發減少，但精準性增強，針對政府、醫院及企業高淨值人群的案件增多。最近的新趨勢是，以木馬控制“僵屍網絡”給直播、短影片網紅點讚、刷評論、彈幕等，但並非主流趨勢。

業內專家介紹，以前木馬的製造者，會通過控制“僵屍網絡”搭計程車dos攻擊（分布式拒絕服務攻擊，可短時間致使某網站癱瘓）、運行彈窗廣告，以及暗中下載應用軟體等，目前這些行為都在減少。這反映出木馬黑產背後的產業鏈正在變短。

從變現角度講，原來木馬黑產需要通過各種手段入侵電腦，控制“僵屍網絡”，然後轉讓給其他控制者，搭計程車dos攻擊獲利；或者給廣告主做彈窗廣告，給應用程式做非法下載，再由下遊公司進行結算，這些都是間接變現。而挖礦木馬的出現，讓黑產上遊可以直接將挖到的虛擬幣存入錢包，直接交易變現。

“木馬行業的黑產都是圍繞流量變現展開的，互聯網產業往哪個方向走，黑色產業就往哪個方向走，基本上是一一對應的關係”，李鐵軍告訴新京報記者，早期是廣告，因為早期互聯網軟體都是利用廣告彈窗的方式來變現，黑產就控制別人的機器來彈廣告。後來軟體分發成為一個趨勢，黑產就在用戶不知情的情況下裝很多軟體；直到現在的挖礦，改變了整個變現形式，掙錢特別直接。“鎖定主頁、彈窗廣告、下載軟體等行為變少了，因為都在挖礦。”