腾讯发布首份币圈大数据报告 门罗币超越比特币成为挖矿首选

随着数字加密货币在全球市场的持续蓬勃发展，挖矿木马的数量也急剧增加。 近日，腾讯安全反病毒实验室结合自有安全大数据，对挖矿木马的种类、传播方式、攻击特点等进行了全面分析，并就如何防御挖矿木马给出了专业建议。

币圈首个大数据发布，国内挖矿木马钟爱门罗币

据了解，挖矿木马主要以PC客户端、网页脚本等形式存在，潜入用户电脑，定时启动挖矿程序进行计算，大量消耗用户电脑资源，导致用户电脑异常过热，以及他们的表现变得很低。 速度较慢比特币活跃地址数据统计，寿命较短等。

腾讯安全反病毒实验室在分析近期发现的挖矿木马大数据后指出，挖矿木马在挖矿过程中使用的进程名通常与系统文件相对应。 这是因为挖矿木马利用进程注入，将系统文件作为进程傀儡进行挖矿。

例如，排名第一的进程名conhost在很多情况下对应系统记事本程序notepad.exe，其他进程名如EthDcrMiner64、minerd、xig、ETHSC、xmrig等都是标准的挖矿木马。

（图：挖矿木马对应的进程名）

腾讯安全反病毒实验室利用自研的哈勃分析系统对挖矿木马的工作过程进行了分析，统计了与这些挖矿木马相连的矿池地址，发现国内挖矿用户最多的矿池喜欢用矿池地址是pool.minexmr.com，对应的挖矿币种是Monero。

值得注意的是，门罗币是挖木马最流行的币种，其次是以太币、比特币钻石、狗狗币、超级现金，其他币种非常少见。 比特币虽然名声在外，但是直接挖比特币的病毒木马却很少见。 原因可能是比特币挖矿难度太大，不如挖门罗币快比特币活跃地址数据统计，门罗币更容易获得。

（图：国内挖矿木马活跃矿池地址）

通常情况下，用户可以通过端口来辅助判断电脑是否存在挖矿行为。 腾讯安全反病毒实验室统计了挖矿木马矿池地址对应的端口号。 数据显示，3333端口是挖矿木马最喜欢使用的端口，约占所有矿池连接端口的12%。

从端口范围来看，3000-3999之间的端口是挖矿木马最常使用的端口范围，该范围内的端口占挖矿端口的38.7%。

（图：挖矿木马池对应的端口比例）

挖矿木马针对企业用户 腾讯御界高级威胁监控系统全面防御

从传播方式来看，腾讯安全反病毒实验室发现，除了部分挖矿木马蠕虫和软件绑架利用MS17-010传播外，大部分挖矿木马更喜欢利用基于Web端的远程代码执行漏洞进行扫描hosts ，漏洞利用成功后，向受害主机下发挖矿木马。

对此，腾讯企业安全技术专家建议，个人用户应确保系统及时更新，使用腾讯电脑管家安装最新安全补丁，修复已知安全漏洞，可大大降低风险。

企业用户需要及时对服务器操作系统、Web服务器和开放服务进行补丁，以抵御黑客基于扫描漏洞传播挖矿木马的攻击。

腾讯企业安全技术专家指出，无论采用何种传输方式，黑客的挖矿收益取决于被攻击的受害主机数量和性能，因此企业用户更容易成为不法分子的目标。

腾讯安全面向企业用户推出的御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力，结合腾讯云端海量数据开发的独有的威胁情报和恶意检测模型系统。

通过分析企业内外网络边界的网络流量，及时感知挖矿木马的使用和攻击情况，有效保护企业网络安全。

（图：腾讯御高级威胁监控系统）

面对不断肆虐的挖矿木马，腾讯企业安全技术专家表示，企业和个人用户应养成良好的电脑使用习惯，加强网络安全防范意识：使用强密码保护服务器账号。

不访问被标记为高风险的恶意网站，不随意打开来历不明的文件和可疑链接； 对于可疑文件，可以使用腾讯电脑管家等安全软件进行扫描，或者将文件上传至哈勃分析系统，检查文件是否存在风险。

此外，腾讯电脑管家的“防挖矿保护”功能已覆盖所有版本用户。 对各种挖矿木马程序和包含挖矿js脚本的网页的运行进行实时拦截和告警，确保用户计算机资源不受侵害。 互联网体验。

以下是矿山叔叔的知识星球，有兴趣的朋友可以加进去~矿山叔叔会不定期分享数字货币的消息~