腾讯首份币圈大数据报告：门罗币超越比特币成为挖矿首选

长期以来，计算机病毒和木马一直是最流行的互联网应用程序的从业者。所有网民关注的互联网热点都蕴含着巨大的网络流量和商机，也是木马竞相进入的舞台。

2017年以来，随着比特币等虚拟加密货币的疯狂炒作，挖矿木马数量也急剧增加。有专家表示，从挖矿木马正在挖什么币，你几乎可以知道哪些币在黑市上容易流通。相反，如果某种虚拟货币完全没有病毒木马作者网络可挖矿，则说明该货币不易流通，更有可能是“空气币”。近日，腾讯结合自身安全大数据发布的一组最新挖矿木马研究报告指出，门罗币已经超越比特币，成为“矿工”的首选。

国内挖矿木马偏爱门罗币

据了解，挖矿木马主要以PC客户端和网页脚本的形式存在，潜入用户电脑，定期启动挖矿程序进行计算，消耗大量用户电脑资源，导致异常发热、性能低下、运行用户的计算机。速度较慢，寿命较短等。

腾讯安全反病毒实验室在对近期发现的挖矿木马大数据进行分析后指出，挖矿木马在挖矿过程中使用的进程名通常与系统文件相对应。这是因为挖矿木马使用进程注入使用系统文件作为进程傀儡进行挖矿。比如第一个进程名conhost在很多情况下对应系统的记事本程序notepad.exe，其他进程名如EthDcrMiner64、minerd、xig、ETHSC、xmrig等都是标准挖矿木马。

（图：挖矿木马对应的进程名）

腾讯安全杀毒实验室利用自研的哈勃分析系统，对挖矿木马的工作过程进行分析，统计这些挖矿木马连接的矿池地址，找到国内挖矿用户最喜欢的矿场。矿池地址为pool.minexmr.com，对应的矿​​币为门罗币。

值得注意的是，挖矿木马最喜欢的货币是门罗币，其次是以太坊、比特币钻石、狗狗币和超级现金。其他货币非常罕见。虽然比特币很有名腾讯比特币交易平台，但是直接挖比特币的病毒木马却很少。原因可能是比特币挖矿难度太大，不如挖门罗币，比较容易获得。

（图：国内挖矿木马活跃矿池地址）

一般情况下，用户可以通过端口来辅助判断电脑是否有挖矿行为。腾讯安全反病毒实验室统计挖矿木马矿池地址对应的端口号。数据显示，3333端口是挖矿木马最喜欢的端口，约占所有矿池连接端口的12%。从端口范围来看，3000-3999之间的端口是挖矿木马最常用的端口，该范围的端口占挖矿端口的38.7%。

（图：挖矿木马池对应的端口比例）

挖矿木马成为企业安全新威胁

从传播方式来看，腾讯安全反病毒实验室发现，除了部分挖矿木马蠕虫和MS17-010传播的软件绑架外，大部分挖矿木马更喜欢使用基于Web的远程代码执行漏洞对主机进行扫描。漏洞利用成功后，在受害主机上植入挖矿木马。

对此，腾讯企业安全技术专家建议，个人用户应确保系统及时更新腾讯比特币交易平台，并使用腾讯电脑管家安装最新安全补丁修复已知安全漏洞，可大大降低风险；企业用户需要及时操作服务器。系统、Web 服务器和开放服务的补丁可以抵御黑客的攻击，这些黑客通过基于扫描的漏洞传播挖掘木马。

腾讯企业安全技术专家指出，无论采用何种传输方式，黑客的挖矿收益取决于被攻击主机的数量和性能，因此企业用户更容易成为不法分子的目标。腾讯安全为企业用户推出的御杰高级威胁检测系统（）是基于腾讯安全反病毒实验室的安全能力，依托腾讯海量云和终端数据，开发的独特的威胁情报和恶意检测模型系统。通过对企业内外网边界的网络流量分析，及时感知挖矿木马的利用和攻击，有效保护企业网络安全。

（图：腾讯御界高级威胁监控系统）

面对猖獗的挖矿木马，腾讯企业安全技术专家表示，企业和个人用户日常要养成良好的电脑使用习惯，加强网络安全防范意识：使用强密码保护服务器账号；没有访问被标记为高风险不要随意打开来历不明的文件和可疑链接；对于可疑文件，可以使用腾讯电脑管家等安全软件进行扫描，或者将文件上传到哈勃分析系统()，检查文件是否存在风险。此外，腾讯电脑管家的“反挖矿保护”功能已经覆盖了该版本的所有用户，