??? 

作者丨徐杰承

【51CTO.com原創稿件】彼得·帕克并沒有進行過加密貨幣罪犯，但蜘蛛俠這個名字正迅速與加密貨幣犯罪產生聯系。近日，某網絡安全軟件提供商發現了一種以最新蜘蛛俠系列電影《蜘蛛俠：英雄無歸》為幌子入侵客戶計算機的新形式惡意軟件。

盜版《蜘蛛俠》成為病毒宿主

2021 年 12 月 17 日，《蜘蛛俠：英雄無歸》在北美等部分地區上映。因版權等原因，本片并未第一時間在迪士尼等流媒體渠道上線。盡管如此，一些盜攝資源還是很快流出，甚至為自己打上了 720P/1080P MKV 高清的標簽。

作為一段時間以來最受關注的電影，《蜘蛛俠：英雄無歸》無疑為網絡犯罪分子提供了一次與全球數百萬潛在目標建立聯系，并入侵其計算機的絕佳作案機會。如今，黑客只需要向受害者承諾最新電影的觀看權限，并靜待對方下載安裝已被掛馬或捆綁惡意軟件的《蜘蛛俠：英雄無歸》種子資源，即可輕松獲取對受害者計算機的完全訪問權限。

在這場風波之中傳播與影響最為廣泛的便是與加密貨幣挖掘相關的惡意軟件。黑客通過控制受害者服務器進行加密貨幣的挖礦，以此牟取利益。這種犯罪行為會給受害者帶來極大的損失：

• 主機長時間執行高性能計算，浪費網絡帶寬，大量占用 CPU 和內存，導致系統無法正常處理用戶請求或任務。
• 增加電力消耗，加快 CPU、內存等硬件老化速度。
• 挖礦軟件被植入受害主機，表明主機很可能已被黑客控制，現有的安全防護體系已經部分甚至完全失效，這還將帶來以下風險：

a. 黑客通過挖礦程序竊取機密信息，如機密文件、關鍵資產的用戶名和密碼等，導致企業或個人遭受更進一步的資產損失。

b. 黑客控制主機作為“肉雞”攻擊互聯網上的其他單位，違反網絡安全法，遭致網信辦、網安等監管單位的通報處罰。

c. 黑客利用已經控制的機器，作為繼續對內網滲透的跳板，進行更嚴重的網絡安全攻擊。

隨著人們將越來越多的時間花費在網上，網絡攻擊事件的發生也愈發頻繁。僅 2021 年，世界范圍內就報告了約 7.14 億次網絡攻擊未遂事件，相比 2020 年增長了 134%。毫無疑問，在這次蜘蛛俠事件中，犯罪分子成功的找到了獲取受害者的最簡單方法，那就是使用正確的誘餌。

雖然大多數人都知道下載未知文件會存在風險，但對于因種種原因而無法進入影院觀看電影的蜘蛛俠粉絲來說，這是他們唯一實現夢想的方式。何況犯罪分子向來擅長使這些文件看起來合法，在蜘蛛俠戰衣與看似無害的文件信息的雙重偽裝下，病毒文件搖身一變成為了人見人愛的免費資源。

據悉，該病毒文件可能源自一個俄語視頻交換網站。文件主體由.NET 撰寫，但并未獲得簽章，且在被披露之前都沒有被上傳到 Virus Total 上。研究團隊表示，該病毒文件早期未引發用戶注意的原因之一是它所創建的文件使用知名且合法的名稱，例如該軟件宣稱其所創建并植入用戶系統的文件名為 svchost.exe 的挖礦文件由 Google 所提供。

原因之二，是該病毒具有較為完善的躲避檢測的方法。分析顯示，該文件在執行后，會立即創建調度作業名為 services 注冊機碼，以保證自身持久性，之后它將刪除用戶系統中的合法文件，并創建名為 sihost64.exe 和 svchost.exe 文件進行冒充，其中 sihost64.exe 為 watchdog 進程，用于監控程序運行，而 svchost.exe 即為挖礦文件。同時，該程序還能夠通過兩個 powershell 命令，向 Microsoft Defender 的例外清單加入以下擴展排除項：忽略用戶配置文件下的所有文件夾、系統驅動器、以及擴展名為".exe"或".dll"的所有文件。以此躲過微軟的殺毒工具與系統管理器的偵測。

???

起初，遭到入侵的計算機并不會出現很大變化，但隨著挖礦程序不斷消耗被入侵計算機的 CPU，最終將導致計算機系統的運行處理能力受到不可逆的破壞。此外，由于需要額外消耗大量電力維持加密貨幣挖掘計算，因此用戶的另一項損失將會出現在高額的電費賬單之中。

如何防范

針對本次利用蜘蛛俠電影進行傳播的惡意軟件，研究團隊給出了以下防范措施：用戶在進行資源文件下載前，應先嘗試收集有關該文件的信息，并在雙擊文件前檢查文件的擴展名。以此次事件為例，犯罪人員為病毒文件命名為“spiderman_no_wayhome.torrent.exe”，當用戶直接查看該文件時，文件真正的擴展名“.exe”通常會因為文件名過長而被隱藏顯示，這使得用戶很容易將“.torrent”視作文件的擴展名并將該文件當做合規的 BT 種子文件進行下載。除此之外，在文件的下載安裝過程中，也應始終檢查文件擴展名是否與預期文件匹配，一旦出現異常應及時停止下載安裝行為。

對已經中招的用戶而言，要阻止病毒對計算機的進一步破壞，則需要通過異常進程確認病毒位置，接著終止監管進程、定時任務與病毒進程并徹底刪除病毒文件。執行完上述操作后，重啟服務器觀察 CPU 占用情況，如仍存在可疑進程則重復上述步驟，如無其他異常則進入最后一步——利用工具軟件檢查系統完整性，如病毒文件已刪除或修改了系統中的原有文件，則需進行對系統文件的修復或重裝。

研究團隊表示，通過熱門電影或者媒體資源傳播惡意軟件的做法已經司空見慣。建議用戶在從非官方來源下載任何類型的內容時都要格外謹慎。無論是來自未知發件人的電子郵件中的文檔，還是來自可疑下載網站的破解程序，亦或是來自某些流媒體的未知資源文件，都有可能成為不法分子入侵你計算機的“快速通道”。

在人們將越來越多的娛樂與消費場景遷移到互聯網時，不法分子也在更加積極地尋找和改進他們的犯罪手段。無論是幾周前的 Log4j 漏洞，還是如今的蜘蛛俠挖礦病毒，無疑都在為廣大互聯網企業與個人用戶敲響警鐘。

隨著社會信息化、數字化發展的不斷深入，網絡安全與數據安全的重要性愈發凸顯。2021 年相繼頒布的《數據安全法》與《個人信息保護法》，對數據安全與個人數據保護實施了更加嚴格的規定。落實企業數據安全合規，做到安全發展并重，是如今的互聯網企業所面臨的共同挑戰。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】

???

為幫助各企業進一步了解與落實《數據安全法》與《個人信息保護法》，我們在 WOT 全球技術創新大會中特別設置了“數據安全的治與理”專題。屆時，數位數據安全與個人信息保護領域權威專家將圍繞兩部關鍵立法，從政策和技術兩方面展開，深入探討企業數據安全合規所面臨的困境以及相應的解決措施。

???

感興趣的同學可點擊閱讀原文或掃下圖二維碼了解更多參會信息。

目前大會 6 折購票中，現在購票立減 2320 元，團購還有更多優惠！有任何問題歡迎聯系票務小姐姐秋秋：15600226809（電話同微信）

???