两款门罗币恶意挖矿软件浮出水面，专门攻击Windows和安卓操作系统

根据安全软件厂商Quick Heal Security Labs和网络安全设备供应商Fortinet的研究人员透露，市场上出现了两种专门针对Windows和安卓操作系统的全新门罗币（Monero）挖矿恶意软件，这些软件会隐藏在普通文件下，并且伪装成合法的应用程序更新。

Quick Heal Security Labs研究人员称，这些“隐身”的门罗币挖矿软件试图隐藏在PC版Windows操作系统内。用户一旦安装之后，该恶意软件就会自解压出一套可执行的VBS脚本文件、一个抽取实用程序、以及受密码保护的存档和批处理文件，并且存储在“C:/ProgramFiles/Windriverhost”目录下。之后，该恶意软件会启动运行ouyk.vbs文件，确保其挖矿操作持续运转，同时还会启动xvvq.bat批处理文件修改PowerCFG命令让计算机始终保持启动状态。

最后，该恶意软件会运行driverhost.exe挖矿程序挖掘门罗币，而xvvq.bat则会使用tasklist命令定期检查计算机内部的分析工具和防病毒工具。目前尚不清楚这个恶意软件是通过什么渠道感染计算机的，但根据Quick Heal Security Labs研究人员推测，网络钓鱼和隐藏恶意软件的广告可能是罪魁祸首。

另一方面，网络安全设备供应商Fortinet的研究人员也发现了另一款攻击安卓操作系统的门罗币恶意挖矿软件——Android/HiddenMiner.A!tr，该恶意软件试图通过冒充Google Play应用商店更新来破坏安卓设备。如果这款软件安装在模拟器或虚拟机上，则会自动关闭以避免被杀毒软件分析监测；不过一旦被安装在移动设备上，它就会被立即激活并请求获取设备管理权限。更可怕的是，假如手机机主不授予这款恶意软件管理权限，它就会不断发出请求，直到用户接受并允许安装。

越来越多门罗币恶意挖矿软件试图进行“自我隐藏”

Quick Heal Security Labs研究人员还表示，这些门罗币恶意挖矿软件还会对对计算机中央处理单元（CPU）的使用进行限制，确保所有采矿活动占用的CPU比例不会超过35%——这样就能确保这些门罗币恶意挖矿软件不会被杀毒工具分析、监测到。

由于这些恶意挖矿软件能够持续运行，并且限制了CPU使用率，导致用户发现应用程序运行缓慢、或是遇到系统性能问题时不会与加密货币挖矿攻击联系在一起，因此往往很长时间都无法发现这些恶意软件。

另一方面，上述提到的HiddenMiner恶意软件对安卓用户的危害性则比较大。因为这款恶意软件会提示用户进行Google Play应用商店更新，通常来说，用户看到此类更新并不会产生太多怀疑，但这个“更新”其实并非来自谷歌。

如何缓解门罗币恶意挖矿软件的威胁

如果你想要避免、或减少被门罗币恶意挖矿软件攻击，那么首先需要让设备保持更新，并且定期检查桌面是否存在危害标志（IoC）。IBM旗下网络威胁智能分享平台IBM X-Force Exchange发现，由于引入了全新签名机制的Android PacKage（APK）格式，HiddenMiner恶意软件无法在Android 7.0或更高版本的操作系统上运行。如果这些恶意软件在Android 7.0或更高版本的操作系统上被执行，就会返回错误信息。

IBM安全人员还建议，可以针对一些常见的危害标志（IoC）去检测恶意挖矿软件。正如Quick Heal Security Labs所述，xvvq.bat恶意文件中其实也存在一个缺陷，即它只会在任务管理器taskmgr.exe运行时杀死driverhost.exe。因此，只要安全团队能够追踪到driverhost.exe的危害标志（IoC）并采取措施，就能删除这个恶意软件。