返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
众多Mac用户感染恶意软件成为Monero矿工
2018-05-28 IT运维网 / 转载

      Mac加密恶意软件最近一直在增加,就像Windows系统一样。 在过去的几周里,许多Mac用户已经感染了一个新的Monero矿工,感染证实了这种恶意软件的崛起。这种软件名为XMRig的合法开源挖掘工具的旧版本,受感染的Mac系统会启动“mshelper”进程,挖掘Monero加密货币。

 

大量用户感染恶意软件 被用来挖掘Monero加密货币

      据研究人员称,过去几周中,许多Mac用户都感染了一种新型Monero恶意软件。 受感染的Mac系统的所有者注意到存在一个名为“mshelper”的进程消耗了大量的CPU电力并耗尽了他们的电池。

“恶意软件在苹果论坛的帖子中成为公众所知  ,其中” mshelper “进程被发现是罪魁祸首。 深入挖掘,发现还安装了其他可疑进程。 我们去搜索并找到这些文件的副本。“

“恶意软件正在挖掘Monero加密货币。 这是它的组件的细分。“

      Mac恶意软件很可能由伪装的Adobe Flash Player安装程序安装,通过从盗版网站下载或特意诱骗受害者打开它们的诱饵文档。

      据专家介绍, 启动程序 pplauncher 文件通过启动守护程序(com.pplauncher.plist)保持活动状态,这种情况表明该删除程序的root权限。 该启动器是用Golang开发的,它有一个相对较大的可执行文件(3.5 Mb),执行这个恶意程序只需要安装和启动这两个简单步骤。

“ 使用Golang引入了大量开销,导致包含超过23,000个函数的二进制文件。 使用它看起来很简单的功能可能是一个线索,表明创建它的人不太熟悉Mac。“

      Malwarebytes发表的分析报告继续说道。

Monero矿工进程mshelper 删除安装文件即可

      Monero矿工是名为XMRig的合法开源挖掘工具的旧版本

      XMRig是一款高性能的Monero(XMR)CPU矿工,具有对Windows的官方支持。 最初基于cpuminer-multi进行繁重的优化/重写并删除了大量遗留代码,因为1.0.0版完全从C ++重写。

      恶意软件启动程序创建 安装在以下位置 的矿工进程 mshelper :

/ tmp / mshelper / mshelper

      这种恶意软件并不是特别危险,但如果受感染的系统出现故障,例如风扇损坏或通风口堵塞,可能会导致过热。

“虽然mshelper进程实际上是一个合法的软件被滥用,但它应该与其他恶意软件一起被删除,”

“这种恶意软件会跟随 macOS的 其他 密码 器,例如Pwnet,CpuMeaner和 CreativeUpdate 。 “

      用户可以 通过删除这两个文件并重新启动他们的设备 来手动删除恶意软件:

  • /Library/LaunchDaemons/com.pplauncher.plist
  • / Library / Application Support / pplauncher / pplauncher
来源:securityaffairs
转自: http://toutiao.secjia.com/mac-computers-miners
相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读