騰訊微信PC端疑似被掛Coinhive.A木馬？

摘要： 來源：https:// zhuanlan.zhihu.com/p/47 736758 作者：崇慕 https://www. zhihu.com/people/chongm u 由於騰訊應急中心的同學們迅速排查，最後得知是我們公司本地網路的問題。 今天開啟P...

來源： ofollow,noindex" target="_blank"> https:// zhuanlan.zhihu.com/p/47 736758

作者：崇慕

https://www. zhihu.com/people/chongm u

由於騰訊應急中心的同學們迅速排查，最後得知是我們公司本地網路的問題。

今天開啟PC端微信，windows10防火牆Defender一直彈出這個提示，微信PC端關閉後就不彈：

如果沒有攔截會開啟 http:// qq.com 官網，並且CPU經常資源100%。

然後檢視詳情，好多：

再檢視詳情：

然後檢視這個*675.dump檔案

裡面是CoinHive數字貨幣門羅幣的挖礦程式碼。

裡面還有錢包地址9pFICAsxNfFPjTILDGhD5D3jqkAqDRND

裡面的掛馬地址是 來自騰訊雲 182.254.78.140

目前這個現象已在多個使用者電腦上發行，以上問題已反饋騰訊雲運營人員(微信部門的人不認識...)。希望早解決。

補充：在一個網路安全群裡發了這篇文章後，被騰訊安全應急中心大佬二胡（lakehu） 看到 ，迅速拉騰訊TSRC同學一個群幫忙分析問題。得知我的本地路由網路被劫持導致所致。

感謝騰訊安全應急中心同學們！最後有安全問題，可以反饋。

騰訊安全應急響應中心 http:// security.tencent.com

騰訊同學給的其他參考資源

MikroTik routers enslaved in massive Coinhive cryptojacking campaign | http:// ZDNetwww.zdnet.com

http://www. freebuf.com/news/179669 .htmlwww.freebuf.com

華盟君點評：攻擊者利用微信PC版自帶瀏覽器的漏洞，進行中間人攻擊。達到挖礦效果。整個攻擊流程一氣呵成，可謂經典。