加密货币的日益普及激发了一些人疯狂采矿，在网上赚钱。（采矿是数字货币系统中的交易处理，其中新的交易记录在区块链的数字分类账中。矿工帮助更新分类账，验证和收集新的交易以加入区块链。作为回报，矿工可以赚取比特币。）如果使用适当的权限进行的挖掘是资源密集和合法的。

McAfee Labs最近发现了一种恶意软件变体CoinMiner或CoinMiner-FOZU！。它通过感染用户可执行文件，将Coinhive JavaScript注入HTML文件，重定向安全产品域名阻止其更新，从而控制受害者的计算机挖掘新虚拟币。

我们分析的CoinMiner-FOZU!已成为2018年挖币式商业恶意软件中的翘楚。（三月份不完整统计数字）资料来源：McAfee Labs

下图显示了最近检测到的CoinMiner-FOZU！的统计数据和地理数据：

W32/CoinMiner在未经用户同意的情况下使用机器资源挖掘虚拟货币。它的寄生特性非常罕见并极具破坏性：恶意软件不会在其感染的每个文件上放置独特的标记。因此，相同恶意软件的后续版本会再次感染受害者的文件。

分析

启动后，CoinMiner将自己复制到两个硬编码位置：

· %Windows%\360\360Safe\deepscan\ZhuDongFangYu.exe

· %filesystemroot%:\RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588\ZhuDongFangYu.exe

这两个文件是只读、隐藏的：

二进制文件从第一个位置执行，开始寄生感染过程。恶意软件会将其自身添加到用户可执行文件中，但与传统文件感染不同，它不允许原文件运行。它针对扩展名为.exe，.com，.scr和.pif的文件，不检查多次感染。如果软件被删除，会再次对系统进行重新感染，则相同的文件将再次成为攻击目标。

为防止受害者从文件中恢复其干净版本，恶意软件会同时删除ISO（磁盘映像）和GHO文件：

一旦CoinMiner感染完其他可执行文件，它将Coinhive脚本注入HTML文件。Coinhive提供加密货币挖掘软件，使用可嵌入网站的JavaScript代码并利用网站访问者的处理器来挖掘加密货币：

CoinMiner会禁用用户帐户控制功能，该功能会在应用程序对系统进行更改时通知用户。通过更新注册表，它还会禁用文件夹选项和注册表工具，并删除安全模式。

从受感染系统上的第二个位置——根目录下的隐藏autorun.inf——恶意软件可确保机器重启后启动：

为避免被安全产品检测到，CoinMiner将安全软件域名放在Host文件中，并将它们重定向到127.0.0.1。如果用户还没有创建本地网站，他们将在浏览器中看到错误页面。通过这样做，恶意软件可以确保没有受害者可以从安全供应商那里收到更新。

当受害者运行已注入的HTML时，Coinhive脚本执行，从coinhive.com下载coinhive.min.js（hash：4d6af0dba75bedf4d8822a776a331b2b1591477c6df18698ad5b8628e0880382）。该脚本使用函数setThrottle（0）接管了100％的CPU。当受害者关闭受感染的HTML文件时，挖币就停止：

简单的主机文件注入，隐藏在回收站中，并最大限度地提高CPU使用率表明这种恶意软件由新手编写。McAfee建议所有用户更新其反安全产品到最新状态。

McAfee检测结果

· W32/CoinMiner

· CoinMiner-FOZU![Partial hash]

· TXT/CoinMiner.m

· HTML/CoinMiner.m

· JS/Miner.c

Hashes (SHA-256)

· 80568db643de5f429e9ad5e2005529bc01c4d7da06751e343c05fa51f537560d

· bb987f37666b6e8ebf43e443fc4bacd5f0ab795194f20c01fcd10cb582da1c57

· 4d6af0dba75bedf4d8822a776a331b2b1591477c6df18698ad5b8628e0880382