[Sophos News] 小心！以Web为基础的加密货币掘矿程式是恶意程式

合法的加密货币掘矿程式会询问用户的准许以在其系统运行，而恶意的版本则否，静悄悄的挪用电脑资源进行掘矿。SophosLabs发现大多掘矿程式是后者，而且更有一番变装：

它们并不以可执行档姿态出现，而是以脚本形式隐藏于网站中，在浏览器中进行加密货币掘矿。网站访客不会察觉到掘矿的证据，唯一的蛛丝马迹是电脑异常地变慢和散热扇高速运转。

显而易见的例子是Coinhive，这门罗币(Monero)掘矿程式在今年9月中首度出现，而随著加密货币价值疯狂飙升，这些藏有掘矿程式的网站的数量在最近几个星期都稳步上升。

由于其寄生性质，Sophos决定开始把Coinhive和其他基于JavaScript加密货币掘矿程式标签作恶意软体，当用户遇上嵌入它们的网站，即被阻挡。

Sophos首先技术官Joe Levy解释道：

当这软体在未得某机构的许可下，这软体在用户的浏览器运行，这是寄生性的；我们将之视作恶意软体，因当今还没有称作寄生软体(parasiteware) 的东西。比如当某机构真的需要贡献CPU/GPU指令周期，而掘矿运作可发展至足以让像我们的厂商可轻易分辨经许可和未经许可的程度，这样我们可展开不同分类的讨论。

加密货币掘矿的恶果

加密货币掘矿是用作发掘Bitcoin，Monero和其他加密货币(如Ethereum和Litecoin)的过程。它需要大量电脑运算能力，会减慢性能并损耗电脑。

本来这不构成问题因大多数人选择进行掘矿工作，但当加密货币价格飙升，这情况开始有变。在2017年始一个Bitcoin只值1000美元，而年末而暴涨至17000美元。

网路小偷知悉这机会并开始利用加密货币掘矿程式牟利。

如前所述，JavaScript掘矿程式如Coinhive被加入网站并在浏览器上运行，盗用访客的CPU生成加密货币。用户可能会察觉到性能变低，CPU用量飙升，电量比平时消耗得快。

Coinhive都在移动设备运作，用户在短期内会察觉到设备温度显著上升。

 

Coinhive脚本数量随著加密货币价格上升

随著加密货币(如Bitcoin(BTC)和Monero(XMR))在最近几个月飙升，SophosLabs录得使用Coinhive脚本的网站数量稳步增加。

以下是Coinhive比较于BTC和XMR价格的趋势：

Coinhive定位自己为广告收入的另类来源。

著名的torrent网站The Pirate Bay是其中一个利用这代码而不曾告诉访客它正使用他们的浏览器采掘加密货币的网站之一。

这类活动让Sophos不得不采取更强硬的立场。

 

由PUA到恶意软体

如上所述，我们之前把掘矿程式侦测为PUA(潜在不需要应用程式)，所以不会自动清除之。系统管理员会收到PUA发现警报，可手动选择清除、授权或知悉。

至于Coinhive和其他相似基于web的JavaScript脚本掘矿程式的情况则不同，采用Web控制的客户将即时见到以下画面：

如何是好

Sophos客户可利用Endpoint和Network Protection方案的Web控制功能阻挡掘矿程式。

一旦开启这功能，归类为”骇入”的网站将被阻挡，阻止用户访问这些侵略性网站。

客户可阅览我们的知识库Knowledge Base文章以了解更多关于如何阻挡JavaScript加密货币掘矿程式的详情。

英文原文:  https://news.sophos.com/en-us/2017/12/19/web-based-cryptominers-are-malware/

(本文为翻译本，内容以英文原文为准)