看片要當心了!色站不只掏空你,還可能掏空你的電腦

FreeBuf騰訊電腦管家2017-10-09 22:48:18

0x1 概況

近日,騰訊電腦管家發現有多個網站在其網頁內嵌了挖礦JavaScript腳本,用戶一旦進入此類網站,JS腳本就會自動執行,佔用大量的機器資源以挖取門羅幣,使電腦出現卡慢問題。據分析,內嵌JS挖礦的站點主要有色情視頻、小說、網頁遊戲等類型,由於這類站點打開後往往會停留一段時間才出現界面,用戶比較不易感知到機器卡慢,這也成為不法分子利用該類色情網頁挖礦的原因之一。

0x2 挖礦行為分析

1. 以某色情網站為例,打開後如下

圖1. 某色情網站網頁

2. 打開任務管理器,我們可看到該站點打開後,CPU使用率立馬上升並且一直保持100%狀態。

圖2. CPU使用率上升至100%

3. 查看該網頁源碼,即可找到內嵌的JS挖礦機https://coin-hive.com/lib/coinhive.min.js

圖3. 網頁中內嵌的JS挖礦機

圖4. 網頁中內嵌的JS挖礦機

4. 該JS挖礦機是由Coinhive提供的一個服務,採用了Cryptonight挖礦算法挖門羅幣,而Cryptonight算法複雜、佔用資源高,常被植入普通用戶機器,佔用其CPU資源來挖礦。Coinhive每隔數小時會根據市場情況,實時調整門羅幣分配,例如截止發稿時,官方給出的是0.00015579XMR/MH,根據門羅幣當前價格換算也就是0.0825687RMB/MH。另外,Coinhive會抽取30%的收益,剩餘70%的收益則由網站站點收取。

圖5. Coinhive收益分配

5. 諷刺的是,Coinhive特別說明不要在不提示用戶的情況下使用該服務,因為用戶的利益比任何公司短期利益都要重要的多;然而實際情況是該服務已經被各個站點濫用。

圖6. Coinhive提示:如使用該服務,建議先告知用戶

6. 同時,通過分析發現,Coinhive提供的接口能夠控制CPU使用率,使得CPU使用率不會一直過高,這樣機器挖礦的同時不會變得明顯卡慢,使挖礦行為更加隱蔽而難以被發現。

圖7. 挖礦機控制CPU使用率

安全人員進一步分析後,發現有數百個站點存在內嵌JS挖礦機的情況。

圖8. 部分JS挖礦站點

其中大部分都是色情網站

圖9. JS挖礦站點類型分佈

數據顯示,9月中下旬JS挖礦訪問量猛增,儘管本週稍有回落,但是依然有上漲的趨勢。

圖10. 9月JS挖礦訪問量趨勢圖

0x3 結語

騰訊電腦管家已對該類網站進行攔截,建議用戶保持健康的上網習慣,勿打開來歷不明的站點,同時保持安全軟件的開啟狀態,及時攔截危險網頁的惡意行為。

*本文作者:騰訊電腦管家,轉載請註明來自 FreeBuf.COM

閱讀原文

TAGS:jS挖礦挖礦騰訊電腦管家挖礦機