电脑装配网

FileTour 恶意病毒木马伪装成Cloudflare页面进行恶意挖矿

 人阅读 | 作者pangding | 时间:2022-09-06 20:04

FileTour是一种广告软件,通常作为游戏和其他软件的河蟹或欺骗手段传播。这个软件包是界定于广告软件和PUP以及更危险的计算机感染类型(如密码窃取木马和矿工)之间,也因此而臭名昭著。

此广告软件包可以创建Windows自动运行,当用户登录到Windows时,它会自动启动Chrome并连接到浏览器内的挖掘页面。更糟糕的是,用户并不能直接发现这些操作。

FileTour 恶意病毒木马伪装成 Cloudflare 页面偷偷挖矿

FileTour恶意病毒使用chrome以不可见的状态打开,无需GPU硬件加速,可以在端口9222上启用远程调试,偷偷在后台以70-80%的CPU利用率进行疯狂挖矿。

浏览器挖矿页面页面假装为Cloudflare验证页面

虽然大多数人不会在正常浏览器窗口中实际查看正在打开的网站,但我当然会看一看。有趣的是,这个页面假装是一个Cloudflare反DDoS验证页面,要求访问者确认他们是人类。

FileTour 恶意病毒木马伪装成 Cloudflare 页面偷偷挖矿

即使此页面看起来像合法的Cloudflare验证页面,单击此复选框也不会执行任何操作。此外,源代码清楚地显示CoinCube脚本正在加载,这不是Cloudflare正在做的事情。

挖矿软件正在成为一种流行病,而浏览器内置矿工的行为也会越来越猖獗。因此,用户通过安装防病毒软件来保护自己是非常重要的,这些防病毒软件可以检测浏览器何时连接到CoinCube等已知的挖掘服务。

不幸的是,新浏览器挖矿行为不断涌现,它已成为安全行业的重头戏。因此,您安装的软件可能无法检测与新的浏览器内矿工关联的网址或脚本。

要增加进一步的保护,您可以在Chrome中使用NoCoin,这会阻止浏览器内挖掘脚本。

NoCoin程序:Google Chrome版、Mozilla Firefox版、Opera 版 (以上链接均指向对应浏览器商店)


文章标签:

本文链接:『转载请注明出处』