看片要當心了！色站不只掏空你，還可能掏空你的電腦

0x1 概況

近日，騰訊電腦管家發現有多個網站在其網頁內嵌了挖礦JavaScript腳本，用戶一旦進入此類網站，JS腳本就會自動執行，佔用大量的機器資源以挖取門羅幣，使電腦出現卡慢問題。據分析，內嵌JS挖礦的站點主要有色情視頻、小說、網頁遊戲等類型，由於這類站點打開後往往會停留一段時間才出現界面，用戶比較不易感知到機器卡慢，這也成為不法分子利用該類色情網頁挖礦的原因之一。

0x2 挖礦行為分析

1. 以某色情網站為例，打開後如下

圖1. 某色情網站網頁

2. 打開任務管理器，我們可看到該站點打開後，CPU使用率立馬上升並且一直保持100%狀態。

圖2. CPU使用率上升至100%

3. 查看該網頁源碼，即可找到內嵌的JS挖礦機https://coin-hive.com/lib/coinhive.min.js

圖3. 網頁中內嵌的JS挖礦機

圖4. 網頁中內嵌的JS挖礦機

4. 該JS挖礦機是由Coinhive提供的一個服務，採用了Cryptonight挖礦演算法挖門羅幣，而Cryptonight演算法複雜、佔用資源高，常被植入普通用戶機器，佔用其CPU資源來挖礦。Coinhive每隔數小時會根據市場情況，實時調整門羅幣分配，例如截止發稿時，官方給出的是0.00015579XMR/MH，根據門羅幣當前價格換算也就是0.0825687RMB/MH。另外，Coinhive會抽取30%的收益，剩餘70%的收益則由網站站點收取。

圖5. Coinhive收益分配

5. 諷刺的是，Coinhive特別說明不要在不提示用戶的情況下使用該服務，因為用戶的利益比任何公司短期利益都要重要的多；然而實際情況是該服務已經被各個站點濫用。

圖6. Coinhive提示：如使用該服務，建議先告知用戶

6. 同時，通過分析發現，Coinhive提供的介面能夠控制CPU使用率，使得CPU使用率不會一直過高，這樣機器挖礦的同時不會變得明顯卡慢，使挖礦行為更加隱蔽而難以被發現。

圖7. 挖礦機控制CPU使用率

安全人員進一步分析後，發現有數百個站點存在內嵌JS挖礦機的情況。

圖8. 部分JS挖礦站點

其中大部分都是色情網站

圖9. JS挖礦站點類型分布

數據顯示，9月中下旬JS挖礦訪問量猛增，儘管本周稍有回落，但是依然有上漲的趨勢。

圖10. 9月JS挖礦訪問量趨勢圖

0x3 結語

騰訊電腦管家已對該類網站進行攔截，建議用戶保持健康的上網習慣，勿打開來歷不明的站點，同時保持安全軟體的開啟狀態，及時攔截危險網頁的惡意行為。

*本文作者：騰訊電腦管家，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！