挖矿木马感染特征

A. 现在的病毒和木马，有什么区别

一、概念上的区别

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

木马，全称是“特洛伊木马”，英文为Trojan Horse，来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。

二、性质上的区别

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

木马是具有欺骗性的文件 ，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。

三，危害上的区别

病毒可以被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。而有些病毒不损坏计算机，而只是复制自身，并通过显示文本、视频和音频消息表明它们的存在，但即使是这些“良性”病毒也会给计算机用户带来问题，比如会占据计算机内存。

特洛伊木马不具传染性，它并不能像病毒那样复制自身，也并不"刻意"地去感染其他文件，它主要通过将自身伪装起来，吸引用户下载执行。

特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码，要使特洛伊木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。

现在的木马一般主要以窃取用户相关信息为主要目的，相对病毒而言，我们可以简单地说，病毒破坏你的信息，而木马窃取你的信息。

B. 电脑中了挖矿病毒

方法/步骤
首先，如果是菜鸟写出的病毒，大家可以太任务管理器中，找到该文件路径，直接终结进程树，或直接找到路径删除即可。

2/6
第二，如果对方技术够本，我们很难终结进程，那么，我们可以下载一个电脑管家，现在的电脑管家也增大了挖矿病毒的扫描率，如果查找到直接清理即可。

3/6
第三，如果电脑管家也无法搞定那么，我们可以avast查杀，这个程序在杀毒方面，简直是第一，对于挖矿病毒来说，更是犹如利剑。

4/6
第四，如果使用avast之后，我们还怀疑电脑有挖矿病毒的话，我们先打开进程手动把文档路径放到隔离区。

5/6
第五，在放到隔离区之后，我们使用avast的放松以供分析，然后发给avast的工作员工，备注怀疑是挖矿病毒，对方给我们人工分析，如果是，对方也会帮我们删除。

6/6
第六，如果在专业坚定之后，我们还有所怀疑的话，如果不是大牛，那么，大舅就需要重装电脑了，毕竟，一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)

C. 挖矿是web应用攻击吗

依法禁止“挖矿”行为，检测清除挖矿木马是关键一环

国联易安
2021年9月，央行等相关部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》，明确虚拟货币兑换等行为，均属非法金融活动，并提出加强对虚拟货币交易炒作风险的监测、预警等工作措施的主张。

同月，国家发改委等部门亦发布《关于整治虚拟货币“挖矿”活动的通知》，明确严禁投资建设增量项目，严禁以任何名义发展虚拟货币“挖矿”项目的行为。

一直以来，我国对比特币等虚拟货币交易炒作活动的监管，都始终保持着高压态势。2021年5月，国务院金融稳定发展委员会明确要求，打击比特币挖矿和交易行为。河北、新疆、内蒙古、青海、云南、四川、安徽等多地都已陆续对虚拟货币挖矿和交易行为开展专项整治行动。

这一系列整治，都剑指“挖矿”带来的高能耗、虚拟币炒作交易扰乱金融秩序等问题。

那“挖矿”到底为什么会产生高能耗呢？“挖矿”指的是虚拟货币的生产过程，因最重要成本是“矿机”运行所需的电费而得名。为此，其主要活动一般也都聚集在电力充足且电费便宜的地区，例如火电丰富的新疆、内蒙古，以及水电丰富的云南、四川、贵州，即便如此，但电力能耗依然惊人。

而就目前各项规定和通知的发布来看，这无疑是在告诉我们“挖矿”行为被严令禁止已是板上钉钉的事实。

尽管明令禁止的要求已经发布，但难免有些不法之徒还是会选择铤而走险，通过违规操作，来实现自己“挖矿”的目的，像这样的行为通常被叫做挖矿劫持。

基于Web的加密攻击，是目前最常见的恶意挖矿软件形式，一般通过在网站内运行的脚本执行，使被攻击者的浏览器在访问期间自动挖掘加密货币。

为了避免网络用户在不知情的情况下成为“挖矿”行为的“傀儡”，我们可以采用一款高效的安全产品来解决。

国联Web安全防护与监控系统是结合多年在应用安全理论与应急响应实践积累、大量的市场经验，在原有网页防篡改产品和Web应用层防火墙的基础上自主研发的一款企业级应用防护与监控系统。产品在提供Web应用实时深度防御的同时，为 Web 应用提供全方位的防护解决方案。

该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于所有涉及 Web 应用的行业。可以帮助用户解决目前所面临的各类网站与网页安全问题，如：网站文件篡改、注入攻击、跨站攻击、脚本木马、缓冲区溢出、信息泄露、应用层攻击等常见及最新的安全问题；通过对应用层协议、服务中间件、数据库协议的监控，实现网站环境健康状态的监控。

另外，可以监控Web系统和服务器的状态，并且确保用户可以在系统宕机，受到攻击或文件被篡改时第一时间收到通知。比如，已经被国家下发了严格整治挖矿行为的通知，本产品就具有对挖矿木马精准检测和彻底清理的功能。挖矿木马的感染性极强，能穿透内网，自动尝试攻击服务器以及其他网站，因此如果发现感染了挖矿木马，就要及时处理，以免遭受损失。

D. WannaMiner挖矿遇到木马怎么办

这个木马利用“永恒之蓝”漏洞在局域网内攻击传播，将染毒机器构建成一个健壮的僵尸网络，支持内网自更新，长期潜伏在电脑中以挖取门罗币。因普通个人电脑大多通过Windows安全更新和腾讯电脑管家等安全软件修补过安全漏洞，基本不受WannaMiner影响。建议各企业用户，如果发现疑似WannaMiner挖矿木马，及时定位和隔离已中毒机器，可通过扫描26931端口判断，如该端口开放则主机已被感染；如需修补内网所有未安装补丁的电脑。建议全网安装专业终端安全管理软件，如腾讯御点，由管理员对全网进行批量杀毒和安装补丁，避免造成不必要的损失。

E. 求助服务器被挖矿程序入侵，如何排查

新客户于最近向我们SINE安全公司咨询，说他的服务器经常卡的网站无法打开，远程连接

服务器的慢的要命，有时候PING值都达到300-500之间，还经常掉包，听客户这么一说，一般

会判断为受到了CC+DDOS混合流量攻击，再具体一问，说是机房那面没有受到流量攻击，这

就有点奇怪了，不是流量攻击，还导致服务器卡，网站无法打开，这是什么攻击？为了解决客

户服务器卡的问题，我们随即安排安全工程师对他的Linux服务器进行了安全检测与安全部署。

挖矿木马还设计了挖矿进程如果被客户强制停止后，会自动启动继续挖矿，达到不间断的挖矿，

仔细检查发现是通过设置了每个小时执行任务计划，远程下载shell挖矿木马，然后执行，检查

当前进程是否存在，不存在就启动挖矿木马，进行挖矿。

对客户的linux服务器进行详细了安全检测发现幸亏没有加密服务器的数据，以及感染蠕虫的病

毒，如果数据被加密那损失大了，客户是做平台的，里面的客户数据很重要，找出挖矿木马后，

客户需要知道服务器到底是如何被攻击的？ 被上传挖矿木马的？ 防止后期再出现这样的攻击

状况。

通过我们安全工程师的安全检测与分析，发现该服务器使用的是apache tomcat环境，平台的开

发架构是JSP+oracle数据库，apache tomcat使用的是2016年的版本，导致该apache存在严重

的远程执行命令漏洞，入侵者可以通过该漏洞直接入侵服务器，拿到服务器的管理员权限，

SINE安全工程师立即对apache 漏洞进行修复，并清除木马，至此问题得以解决，客户服务器

一切稳定运行，网站打开正常。

F. 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

G. 什么是挖矿木马

就是会让你电脑自动挖矿的病毒
杀毒软件直接杀毒不就得了么
安装个电脑管家到电脑上
然后使用病毒查杀，对着你的电脑杀毒就行了

H. 挖矿木马是什么

就是你电脑后台自行消耗显卡与CPU资源的木马病毒，这种木马是看你电脑配置很高，后台自行挖矿，你一般看不出来，但是你显卡或CPU占用很高的。