挖矿病毒通过各种途径将挖矿程序植入用户的电脑或服务器中，利用这些电脑或服务器的运算力进行挖矿。感染原因一般包括：用户浏览访问含有mine、monero等关键词的可疑挖矿域名；用户下载并运行了带有病毒的盗版软件；黑客通过暴力破解操作系统的ssh、ftp、telnet等服务的弱口令，或利用漏洞进入操作系统，从而获取主机权限，并在内网进行横向扩展。

学校环境为高计算集中环境，校园数据中心存放大量服务器、云主机、虚拟主机，同时教室办公终端、学生终端数量巨大，都可能成为挖矿病毒的感染对象，也存在着校内教职工或者学生群体刻意使用校内公共资源进行挖矿谋取个人利益的现象。

“挖矿”病毒介绍

挖矿病毒入侵主要分为三种方式：基于浏览器插件的挖矿病毒，基于Linux系统的挖矿病毒，基于Windows系统的挖矿病毒（常见）。

一、基于Linux/Windows系统的挖矿病毒

挖矿病毒程序结构（一般情况下）▼

文件结构▼

基于Linux/Windows系统的挖矿病毒一般包括四个部分，包括挖矿配置、挖矿软件、守护进程、监控更新程序，对应文件包括config.json（挖矿配置）、sysupdate（XMR挖矿软件）、update.sh（定时执行与更新脚本）、networkservice（scanner 扫描并入侵其它主机）、sysguard（watchdog 用于监控并保证病毒程序的正常运行与更新，并保证它们已root权限运行）。

二、基于浏览器插件的挖矿病毒

现在各种网络安全防护比较多，直接向内网植入挖矿病毒，成本越来越高，所以非法分子将目光投向网页，利用网页中的插件漏洞来植入挖矿病毒；常见的网页插件包括：injected.js、content-script.js、background.js、manifest.json等。

injected.js插件和原网页自带的脚本类似，可以访问网页原有js的变量空间，仅当你需要获取被浏览页面中原有js中的变量时，才把你的脚本inject到用户的页面中，然后传给content-script。

content-script.js主要是注入用户浏览的页面中，但又不像injected script那么彻底，而是单独运行在一个隔离空间里；因而只能访问和操作页面DOM，不能访问页面js的变量空间。

background.js这类脚本是运行在浏览器后台的，它与当前浏览页面无关，也就是所谓的后台脚本，在Chrome扩展中分为持续性和非持续性的。

manifest.json是一个Chrome插件必不可少的文件，用来配置所有和插件相关的配置，必须放在根目录。

插件文件格式▼

在background.js文件中，查找挖矿配置代码▼

随着攻防手法的不断变化，黑产团伙开始在挖矿病毒上使用的技术也越来越先进。

挖矿病毒样例执行流程示例

1、通过钓鱼邮件、恶意站点、软件捆绑下载等方式诱导用户点击其恶意脚本程序。

2、在用户点击启动恶意脚本loader.sh后，该脚本将清除安全软件，下载启动程序（kworker）。

3、Kworker程序检查并更新各功能组件，以及启动挖矿程序dbus、攻击程序autoUpdate、隐藏脚本hideproc.sh、攻击脚本sshkey.sh。

4、autoUpdate程序扫描并攻击所在网段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等组件、服务或协议漏洞，以及国内用户常用的服务，并利用相关漏洞写入计划任务并执行。

5、通过hideproc.sh脚本隐藏进程，防止被用户发现。

6、通过sshkey.sh脚本尝试从bash_history、etc/hosts、ssh/kownhost及进程已有连接中提取该终端连接过的终端，如果可以成功连接则下载并启动脚本loader.sh，达到传播目的。

7、挖矿程序dbus在受害者的设备上悄悄运行以便挖掘加密货币，同时将中毒设备上连接到一个矿池，为欺诈者获取未经授权的“免费”计算能力，欺诈者直接将“免费算力”挣来的加密货币放入自己的钱包。

“挖矿”病毒的危害

“挖矿”需要大量的电力维持计算机运算，能源消耗和碳排放量大，对国民经济贡献度低，对产业发展、科技进步等带动作用有限，加之虚拟货币生产、交易环节衍生的风险越发突出，其盲目无序发展对推动经济社会高质量发展和节能减排带来不利影响。

一、社会层面

虚拟货币“挖矿”活动指通过专用“矿机”计算生产虚拟货币的过程，站在国家层面来说会造成如下危害：

1）能源消耗和碳排放量大，对国民经济贡献度低，对产业发展、科技进步等带动作用有限。

2）虚拟货币生产、交易环节衍生的风险越发突出，其盲目无序发展对推动经济社会高质量发展和节能减排带来不利影响。

二、学校层面

恶意挖矿攻击，就是在用户不知情或未经允许的情况下，占用受害者的系统资源和网络资源进行挖矿，从而获取加密货币牟利，其通常发生在网站或服务器中，对学校会造成如下危害：

1）服务器性能严重下降，影响业务系统正常运行，严重时可能导致校园业务系统中断。

2）在感染挖矿病毒的同时，服务器资源可能成为攻击者控制的僵尸网络中的一部分，被用来对其他目标进行攻击，如DDoS攻击源、C2服务器等。

3）可能导致信息泄露及其他攻击。攻击者在安装挖矿木马的同时，很多情况下已获得服务器的系统权限，服务器上数据的窃取以及针对目标企业的下一步攻击仅在于攻击者的一念之间。

三、个人层面

挖矿病毒在运行时，因占用大量系统资源，造成系统卡顿后容易被用户察觉，所以会使用伪装成系统文件、无文件持久化等技术保护自身，即使被用户发现也不会被轻易清除，长时间占用用户的系统资源，挖矿获取利益。严重影响终端性能，造成电脑卡顿，降低终端用户办公、学习效率，影响教育教学活动。

“挖矿”病毒整治政策要求

国家发展改革委等部门多次组织召开 “挖矿”治理专题会议，并在关于整治虚拟货币“挖矿”活动的通知，发改运行【2021】1283号文件中明确要求：整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。

各地区、各部门和有关单位要高度重视，充分认识整治虚拟货币“挖矿”活动的必要性和重要性，切实把整治虚拟货币“挖矿”活动作为促进经济社会高质量发展的一项重要任务，进一步增强责任感和紧迫感，抓住关键环节，采取有效措施，全面整治虚拟货币“挖矿”活动，确保取得实际成效。

“挖矿”病毒防护手段

检测：以“工具+人工”的手段，通过安全设备检测，辅助人工分析，帮助用户定位网络中是否存在挖矿行为。

1） 针对网络中存在的挖矿或其他的安全隐患

通过边界侧防火墙、入侵防御设备和终端安全防护，采用本地特征库和云端情报库相结合的方式，通过安全防护引擎对挖矿活动进行检测，阻断实时恶意连接。

2）对于无法识别潜在的挖矿外联行为

通过威胁感知系统，结合AI技术与虚拟沙箱技术，对网络中传输的隐蔽性高的APT恶意文件有效识别，同时快速识别异常外联流量，定位组织网络中的挖矿主机。

3）多维度检测

处置：一旦在用户网络中发现挖矿病毒，通过终端EDR和边界防火墙，阻断该终端异常外联行为，并进行病毒查杀。

1） Linux系统挖矿病毒的处置

通过定时任务/服务的清除、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的恢复、病毒进程文件处置、病毒文件删除等处置动作，彻底清除用户网络中的挖矿病毒。

2） Windows系统挖矿病毒的处置

通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改，注册表项的清除/修改，计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作，彻底清除用户网络中的挖矿病毒。

预防：面对日益严峻的挖矿或其他恶意病毒威胁，以预防为主，建设立体化的病毒防护解决方案，从源头杜绝挖矿病毒进入组织内部。

在边界上通过防火墙和入侵防御设备构建防御基线，快速检测并阻断多种已知或未知病毒。

在网络层面，通过旁路部署的威胁感知设备对流量和异常行为的分析，定位未知病毒或攻击行为，通过与边界防火墙的联动，阻断异常流量，定位异常主机。

在终端层面，通过部署终端EDR，协同边界侧设备和云端安全能力，及时发现潜伏的挖矿主机，及时清理，杜绝影响。

1.系统层面

服务器端：

• 建立服务器投产标准化规范，安全基线(如：服务器上线之前，安全策略如何设置、补丁要求、防病毒、运维管理要求如何配置等)。
• 定义服务器运维规范，安全要求，以及安全检查机制。
• 建立服务器配置管理机制，首先针对操作系统进行配置管理。

客户端：

• 建立客户端系统准入机制，如没有进行补丁更新、没有安装防病毒的客户端无法访问服务器区网络。
• 定义客户端补丁更新策略、防病毒更新策略等安全要求。
• 建立客户端统一的桌管平台，让客户端的机器能够统一的进行管理。

2. 运维层面

• 加强服务器监控预警机制。
• 加强用户安全意识教育。
• 建立统一日志管理平台，可收集、存储、分析服务器系统及网络设备的相关日志。
• 建立服务器统一运维管理平台，能够快速批量的管理服务器。

一旦中了“挖矿”病毒，最好是备份文件后重装系统。因为“挖矿”病毒通常会使用常见的攻击技术进行植入、执行，例如使用任务计划持续性执行或在 Linux 环境下利用crontab 定时任务执行等。“挖矿”病毒还会利用混淆、加密、加壳等手段对抗检测，搜索并终止常见的防病毒产品并修改防火墙策略。目前常见的“挖矿”病毒超过30种，Linux和Windows都有，每一种的清理方式都不一样，而且病毒也在不断进化中，重装系统对于校园网用户是相对比较容易的恢复系统正常工作并实现“挖矿”动态清零的方法。