3月11日訊 加密貨幣采礦類惡意軟件正快速演進，目前已經出現新的攻擊手段，能夠從受感染計算機當中清除同其競爭資源的其它采礦代碼。

這款“非同一般”的采礦工具由SNS互聯網風暴中心處理人員澤維爾·墨滕斯首先發現。墨滕斯在2017年3月4日發現了一套PowerShell腳本，并注意到其會關閉目標設備上任何其它瘋狂攫取CPU資源的進程。他寫道，“這是一場針對CPU周期的爭奪戰！”

在攻擊之前，該腳本會檢查目標設備屬于32位抑或64位系統，并據此下載已被 VirusTotal 判明為 hpdriver.exe 或 hpw64 的已知文件（二者會將自身偽裝為某種惠普驅動程序）。

一旦成功安裝，攻擊活動會列出當前正在運行的所有進程并根據自身需求關閉其中特定進程。墨滕斯指出，除了普通的 Windows 操作系統之外，這份進程列表當中還包含大量與密碼生成器相關的信息，以下列出部分相關內容：

Silence；

Carbon；

xmrig32；

nscpucnminer64；

cpuminer；

xmr86；

xmrig；

xmr。

墨滕斯寫道，這套腳本還會檢查與各類安全工具相關的進程。

在參考ESET公司米甲·馬利克發布的推文之后，墨滕斯還撰寫了另一篇相關文章,，其中涉及采礦工具感染 Linux 服務器的相關細節：

向authorized_keys當中添加公鑰。

運行加密貨幣采礦工具。

生成IP范圍，使用masscan。

a) 利用“永恒之藍”漏洞以入侵Windows主機，而后通過下載一個PE文件獲取其惡意payload。

b) 通過Redis入侵Linux主機，并經由pic.twitter.com/IvWzU1jBqy自行獲取惡意payload。

這是一套 bash 腳本，用于將采礦程序推送至Linux設備當中，同時掃描互聯網以尋找其它易受美國 NSA“永恒之藍”安全漏洞影響的其它 Windows 計算機。