众多Mac用户感染恶意软件成为Monero矿工
2018-06-11 来源:
Mac加密恶意软件最近一直在增加,就像Windows系统一样。 在过去的几周里,许多Mac用户已经感染了一个新的Monero矿工,感染证实了这种恶意软件的崛起。这种软件名为XMRig的合法开源挖掘工具的旧版本,受感染的Mac系统会启动“mshelper”进程,挖掘Monero加密货币。
大量用户感染恶意软件 被用来挖掘Monero加密货币
据研究人员称,过去几周中,许多Mac用户都感染了一种新型Monero恶意软件。 受感染的Mac系统的所有者注意到存在一个名为“mshelper”的进程消耗了大量的CPU电力并耗尽了他们的电池。
“恶意软件在苹果论坛的帖子中成为公众所知 ,其中” mshelper “进程被发现是罪魁祸首。 深入挖掘,发现还安装了其他可疑进程。 我们去搜索并找到这些文件的副本。“
“恶意软件正在挖掘Monero加密货币。 这是它的组件的细分。“
Mac恶意软件很可能由伪装的Adobe Flash Player安装程序安装,通过从盗版网站下载或特意诱骗受害者打开它们的诱饵文档。
据专家介绍, 启动程序 pplauncher 文件通过启动守护程序(com.pplauncher.plist)保持活动状态,这种情况表明该删除程序的root权限。 该启动器是用Golang开发的,它有一个相对较大的可执行文件(3.5 Mb),执行这个恶意程序只需要安装和启动这两个简单步骤。
“ 使用Golang引入了大量开销,导致包含超过23,000个函数的二进制文件。 使用它看起来很简单的功能可能是一个线索,表明创建它的人不太熟悉Mac。“
Malwarebytes发表的分析报告继续说道。
Monero矿工进程mshelper 删除安装文件即可
Monero矿工是名为XMRig的合法开源挖掘工具的旧版本
XMRig是一款高性能的Monero(XMR)CPU矿工,具有对Windows的官方支持。 最初基于cpuminer-multi进行繁重的优化/重写并删除了大量遗留代码,因为1.0.0版完全从C ++重写。
恶意软件启动程序创建 安装在以下位置 的矿工进程 mshelper :
/ tmp / mshelper / mshelper
这种恶意软件并不是特别危险,但如果受感染的系统出现故障,例如风扇损坏或通风口堵塞,可能会导致过热。
“虽然mshelper进程实际上是一个合法的软件被滥用,但它应该与其他恶意软件一起被删除,”
“这种恶意软件会跟随 macOS的 其他 密码 器,例如Pwnet,CpuMeaner和 CreativeUpdate 。 “
用户可以 通过删除这两个文件并重新启动他们的设备 来手动删除恶意软件:
- /Library/LaunchDaemons/com.pplauncher.plist
- / Library / Application Support / pplauncher / pplauncher
来源:securityaffairs
转自: http://toutiao.secjia.com/mac-computers-miners
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。