能關閉防毒軟體、被發現就當機! 惡劣挖礦軟體3天內感染50萬台PC

安全廠商發現一款挖礦軟體，會在用戶發現並試圖移除時將整台電腦搞到當機。

安全廠商Qihoo 360 TotalSecurity實驗至近日攔截到一隻名為WinstarNssmMiner的Monero幣挖礦軟體，散佈速度十分快速，三天內就感染50萬台PC。WinstarNssmMiner以開原碼專案XMRIG實作而成的挖礦軟體，迄今已經挖到133個、價值2.8萬美元的Monero幣。但是它最麻煩的一點是具有偵測並對抗防毒軟體的能力。

這家安全廠商並未說明WinstarNssmMiner散佈的管道，只表示分析WinstarNssmMiner在進入電腦後會偵測有無厲害的防毒軟體產品，像是卡巴斯基或Avast等。如果有的話它會自動停止活動以避免被偵測到，若判斷為較弱的防毒軟體，這隻惡意程式就會關閉防毒軟體。

接著它會在受害電腦的svhost.exe中注入程式碼，建立二個svhost.exe程序，一個執行挖礦的任務，另一個則背景執行，持續偵測防毒軟體。它會將svhost.exe程序設定為CriticalProcess，一旦挖礦行為導致受害者電腦效能大幅降低，讓某些敏感的使用者發現並且想終止它時，Windows 就會關閉電腦，進入當機狀態，這也增加移除的困難度。

安全人員表示，如果使用者沒有很厲害的防毒軟體，就得忍受電腦效能慢得要死以及藍色死亡畫面的風險。