吃雞「外掛」藏木馬 一天20萬電腦中毒

警方破獲挖礦木馬黑產案，一企業控制他人電腦挖幣，獲利1500餘萬元；「挖礦」成黑產最佳變現手段

7月25日，比特幣價格突破8500美元大關，其價格在7月以來已經上漲超40%。虛擬貨幣繁榮背後，黑色數字產業鏈卻已經悄然將方向轉向「挖礦」（利用電腦硬體計算出虛擬貨幣的位置並獲取該貨幣的過程）領域。

7月初，山東省青州警方破獲了一起製造木馬病毒感染普通電腦，並利這些電腦閑置的CPU資源「挖礦」的案件。涉案的大連某高新技術企業控制了包含389萬台電腦的「殭屍網路」（指被木馬感染，可由遠程控制的電腦網路），涉案案值超1500萬元。

新京報記者採訪了相關辦案民警、電腦安全專家等，揭露黑色數字產業鏈發展的上下游，以及黑產如何圍繞互聯網流量進行變現。

新京報記者 白金蕾 實習生 趙煒

吃雞「外掛」暗藏「挖礦」木馬

「我們是按『非法控制他人計算機』罪名立案的。」山東省青州市公安局的李警官介紹，該案犯罪嫌疑人楊某，仿冒「愛奇藝」編寫「酷藝VIP影視」，還提供吃雞遊戲「外掛」程序（遊戲作弊軟體）供網民免費使用，但楊某在程序中暗置木馬程序「挖礦」，專門挖HSR虛擬貨幣。至案發，楊某已挖取了8551.9枚HSR幣（最高252元/枚，目前42元/枚）。

該案中，楊某將帶有木馬病毒的軟體大規模擴散，是由於其「天下網吧論壇」版主的身份，以及大連晟平網路科技有限公司（下稱晟平網路）的推廣。晟平網路表面業務是廣告營銷、軟體推廣，背地裡卻在其增值客戶端和推廣的軟體中植入「tlMiner」挖礦木馬。經過該企業及其3500個代理商的推廣，挖礦木馬感染了超100萬台電腦。

據李警官介紹，晟平網路共控制了389萬台電腦的「殭屍網路」，經濟收益超1500萬。其中，利用高性能計算機挖取DGB幣（極特幣）、DCR幣（德賽幣）、SC（雲產幣）幣2600餘萬枚；其他200餘萬台進行廣告彈窗、應用下載業務。而單獨售賣「外掛」，單月單人僅能獲益不到百元。

電腦為別人「挖礦」，用戶卻不知情

據警方信息，該案的線索來自於網路安全大數據監控。2017年年底，騰訊電腦管家（PC端）及安全大腦（雲端）發現「tlMiner」木馬在一天之內感染超20萬台電腦，並且具有暗中挖礦、以正常應用程序帶木馬等行為。警方經過近半年時間的偵破，上述案件告破。

騰訊電腦管家高級安全專家李鐵軍介紹，相較過去的木馬程序，挖礦木馬不會改動用戶首頁、隱藏文件，甚至具有選擇性佔用用戶內存的特點，不易被感染者發現；此類病毒直接挖礦改變了數字黑產的變現方式，無需再與下游企業結算，可直接賣幣獲利。

雖然目前該木馬感染用戶計算機後，只佔用閑置CPU資源挖礦，但與其他木馬類似，伺服器可對被感染計算機做任何事情，比如調用攝像頭、查看重要文件等。同時，挖礦對電腦硬體配置要求比較高，主機經常長期高負荷運轉，顯卡、主板、內存等硬體會提前報廢，對電腦的損害大。

此外，此類挖礦木馬除了植入在遊戲外掛中，還會植入在號稱可以看視頻網站付費內容的「仿冒」播放器中。以上軟體在運行時，都會提醒用戶「暫時關閉安全軟體、防火牆等」，讓用戶電腦處於無防護狀態。

「挖礦」木馬成黑產更直接變現手段

「現在，市面上的木馬病毒一般只做兩種事情，一種是挖礦，一種是勒索」，李鐵軍告訴新京報記者。去年大面積爆發的勒索病毒就是木馬病毒，只是其在入侵用戶計算機後，通過檢測用戶信息，了解用戶身份，進而對高凈值人群進行勒索。今年以來，勒索病毒大面積爆發減少，但精準性增強，針對政府、醫院及企業高凈值人群的案件增多。最近的新趨勢是，以木馬控制「殭屍網路」給直播、短視頻網紅點贊、刷評論、彈幕等，但並非主流趨勢。

業內專家介紹，以前木馬的製造者，會通過控制「殭屍網路」打Ddos攻擊（分散式拒絕服務攻擊，可短時間致使某網站癱瘓）、運行彈窗廣告，以及暗中下載應用軟體等，目前這些行為都在減少。這反映出木馬黑產背後的產業鏈正在變短。

從變現角度講，原來木馬黑產需要通過各種手段入侵電腦，控制「殭屍網路」，然後轉讓給其他控制者，打Ddos攻擊獲利；或者給廣告主做彈窗廣告，給應用程序做非法下載，再由下游公司進行結算，這些都是間接變現。而挖礦木馬的出現，讓黑產上游可以直接將挖到的虛擬幣存入錢包，直接交易變現。

「木馬行業的黑產都是圍繞流量變現展開的，互聯網產業往哪個方向走，黑色產業就往哪個方向走，基本上是一一對應的關係」，李鐵軍告訴新京報記者，早期是廣告，因為早期互聯網軟體都是利用廣告彈窗的方式來變現，黑產就控制別人的機器來彈廣告。後來軟體分發成為一個趨勢，黑產就在用戶不知情的情況下裝很多軟體；直到現在的挖礦，改變了整個變現形式，掙錢特別直接。「鎖定主頁、彈窗廣告、下載軟體等行為變少了，因為都在挖礦。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！