扫不出来的PyCryptoMiner僵尸病毒开始崛起，中奖就沦为挖矿机器

2024-05-08 227

之前曾经有多种挖矿感染方式，多半可借由防毒软件或浏览器扩充外挂窥出端倪，国外 F5 Networks 安全实验室的研究员近日发现一款名为 PyCryptoMiner 僵尸病毒却是以 Python 脚本语言所写成，以合法的外皮掩盖其不良意图，不只不意察觉，就连防毒软件也难以察觉它的存在。

PyCryptoMiner 僵尸病毒开始崛起，感染设备于无形

由国外 F5 Networks 安全实验室研究人员发现的这款最新 Linux 僵尸病毒目前正在扩展到 SSH 协定（ Secure Shell 的缩写，由 IETF 的网络工作小组所制定，SSH 为建立在应用层和传输层基础上的安全协议）上，并且正式定名为 PyCryptoMiner 。

这个僵尸病毒有几个特征：
1. 基于 Python 写成，非常难检测出来，有可能是默默地对电脑进行感染。

2. 利用 Pastebin.com（在用户名称 WHATHAPPEN 下），当原本的 C&C 服务器关闭后会自动给予新的分配。

3. 注册用户名下拥有 36,000 个关联域名，有些从 2012 年起就开始进行诈骗、线上赌博与成人服务闻名。

▲这个 XINQIAN RHYS 就是该名 C&C 服务器的注册用户

4. 开采以高度匿名性而受到暗网及网络不法份子所青睐的虚拟货币 Monero ，自出现到 2017 年 12 月底此僵尸病毒已经挖掘大约 46,000 美元的 Moreno 。

PyCryptoMiner 本身以一个合法的二进制文件执行，并且可能会是大多数 Linux 和 Windows 版本上的直译器之一，也是因为以这样的方式来编写，所以更具有回避性，也很容易使防毒软件混淆，在 F5 Networks 实验室发现这个病毒的时候两个 Monero 账户中分别已经有 94 和 64 Monero，虽然币值波动紊乱，以目前大概价值来换算约为 60,000 美元（约为新台币 1,776,060 元）。