吃鸡外挂藏木马，20万电脑中毒黑产案解决

7月初，山东省青州警方破获了一起制造木马病毒感染普通电脑，并利这些电脑闲置的CPU资源“挖矿”的案件。涉案的大连某高新技术企业控制了包含389万台电脑的“僵尸网络”，涉案案值超1500万元。

新京报记者采访了相关办案民警、电脑安全专家等，揭露了黑色数字产业链发展的上下游，以及黑产如何围绕互联网流量进行变现。

吃鸡“外挂”暗藏“挖矿”木马 山东省青州市公安局的李警官介绍，在这起案件中，犯罪嫌疑人杨某仿冒“爱奇艺”编写了“酷艺VIP影视”程序，并提供吃鸡游戏的“外挂”供网民免费使用。然而，该程序暗藏木马程序“挖矿”，专门挖HSR虚拟货币。杨某在案发之前已经挖取了8551.9枚HSR币，总价值高达1500万元。

该案中，杨某利用其身份为“天下网吧论坛”版主和大连晟平网络科技有限公司的推广，将带有木马病毒的软件大规模传播。晟平网络的表面业务是广告营销和软件推广，但暗中植入了“tlMiner”挖矿木马程序。通过该企业及其代理商的推广，超过100万台电脑感染了挖矿木马。

电脑为别人“挖矿”，用户却不知情 警方通过网络安全大数据监控发现了该案的线索。腾讯电脑管家及安全大脑在2017年年底发现“tlMiner”木马在一天之内感染了超过20万台电脑，并具有暗中挖矿和以正常应用程序带木马等行为。警方经过近半年时间的侦破，最终告破了这起案件。

腾讯电脑管家的高级安全专家李铁军介绍说，与过去的木马程序相比，挖矿木马不会改动用户首页或隐藏文件，甚至具有选择性占用用户内存的特点，不易被感染者发现。这种病毒直接挖矿改变了数字黑产的变现方式，无需再与下游企业结算，可以直接卖币获利。

虽然目前该木马感染用户计算机后只占用闲置CPU资源来挖矿，但与其他木马类似，服务器可以对被感染计算机进行任何操作，比如调用摄像头、查看重要文件等。同时，挖矿对电脑硬件配置要求较高，主机经常长期高负荷运转，显卡、主板、内存等硬件可能会提前报废，对电脑造成损害。

此外，这类挖矿木马除了植入在游戏外挂中，还会植入在号称可以观看付费内容的“仿冒”播放器中。这些软件在运行时会提醒用户“暂时关闭安全软件、防火墙等”，让用户的电脑处于无防护状态。

“挖矿”木马成为黑产更直接的变现手段 据腾讯电脑管家的李铁军介绍，现在市面上的木马病毒一般只做两种事情，一种是挖矿，另一种是勒索。去年爆发的勒索病毒就是一种木马病毒，入侵用户计算机后，通过检测用户信息了解用户身份，然后对高净值人群进行勒索。今年以来，勒索病毒爆发的范围减少，但精准性增强，更多针对政府、医院和企业的高净值人群。

业内专家介绍说，过去的木马制造者会通过控制“僵尸网络”进行DDoS攻击、弹出广告弹窗以及暗中下载应用软件等手段来变现。但目前这些行为都在减少，这反映出木马黑产背后的产业链在变短。

从变现的角度来看，过去的木马黑产需要通过各种手段入侵电脑、控制“僵尸网络”，然后转让给其他控制者，通过DDoS攻击获利，或者给广告主做弹窗广告，给应用程序做非法下载，最后由下游公司进行结算。而出现了挖矿木马后，黑产上游可以直接将挖到的虚拟币存入钱包，直接交易变现。

李铁军告诉新京报记者：“木马行业的黑产都是围绕流量变现展开的，互联网产业往哪个方向走，黑色产业就往哪个方向走，基本上是一一对应的关系。”早期的黑产主要是控制别人的机器弹广告，因为早期的互联网软件主要通过广告弹窗来变现。后来软件分发成为趋势，黑产在用户不知情的情况下装了很多软件。如今，挖矿改变了整个黑产的变现形式，变现更加直接。“锁定主页、弹窗广告、下载软件等行为变少了，因为都在挖矿。”