青州黑客控制百万台电脑“挖矿”牟利

去年12月20日，一款名为“吃鸡小程序”的插件隐藏了一个木马程序，具有后台静默挖矿功能（挖矿就是通过大量获取数字货币-虚拟货币奖励）计算机操作），主要消耗计算机CPU、GPU资源和电力资源），初步统计感染数十万用户机器的木马程序。

警方通过网络提取了外挂木马样本，找到了木马开发者建立的木马交流群。初步调查发现，木马程序开发者在青州市。潍坊市局网安支队、青州市局成立专案组调查此案。

专案组经查明，该通讯群主的身份为杨某宝（男，35岁，山东省青州市人）。警方调查发现，杨某宝通过多渠道传播隐藏挖矿木马程序插件。一是建立多个插件讨论群，共享群文件中的插件程序。身份，将含有木马的外挂程序上传到“世界网咖”论坛，通过百度网盘分享下载。

3月8日，专案组制定详细抓捕方案，在家中将杨某宝抓获。

拥有大学学历的网管，居然是著名的“黑客”

只有大学学历的杨某宝，大学时大部分时间都在学习计算机程序，用自己学的编程语言编写插件和修改游戏，在网络上有一定的知名度之后，他在青州一家网吧做网络管理员，接触更多的“黑客技术”，实现赚钱的目的。

一开始，他模仿“爱奇艺”，编写了“酷艺VIP影视”服务器和客户端。他在全国开发了60多家代理商，并以年卡、月卡的形式销往全国各地的网吧。杨某宝向全国2465家网吧销售年卡5774张、季卡282张、半年卡116张、月卡3285张，非法获利20万元以上。

此外，杨某宝还开发了一款名为“吃鸡小程序”的外挂程序，供广大网友免费下载开发，海量用户可以访问多台电脑主机。

2017年，杨某宝在天下网咖论坛接触到58迅推客户端广告增值服务，与大连升平网络科技有限公司（以下简称“大连升平公司”）合作")，平台的开发公司)，获悉客户端捆绑了一个“挖矿”木马程序，可以通过推广客户端来控制主机的“挖矿”利润。

杨某宝控制了大量网吧主机，成为推广平台的大客户。杨某宝利用此前从事软件开发的用户推广58迅推增值客户端，从而控制3万多台网吧电脑为大连升平公司“挖矿”。利润26.8万元。

看到控制别人的主机“挖矿”非常有利可图，杨某宝利用自己的才华修改了58迅推客户端和捆绑的“挖矿”木马程序，并嵌入了自己的HSR（“红烧”） Meat Coins”，一种虚拟货币）钱包地址，受控主机在挖矿过程中挖币后将其转移到自己的HSR钱包中。

此外，杨某宝将这个挖矿木马程序捆绑到之前开发的“酷易VIP影视”服务器和“吃鸡小程序”中，然后将这两个程序升级为“挖矿”木马。程序通过这两个程序植入宿主机，从而控制更多的宿主机为其“挖矿”。据统计，2017年10月至事发时，杨某宝共挖出8551.9个高铁币（最高价252元/枚，目前42元/枚）。

“挖矿”木马背后是正规网络公司

“经过深入调查，我们发现‘杨某宝’只是58寻退平台的代理人，背后更大的犯罪集团是大连升平公司。”青州市公安局网络安全大队负责人田爱伟说，他们调查发现，该公司是一家正式注册的网络计算机公司，员工40多人。

专案组3次赴大连调查公司，“查明公司幕后控制人何某，38岁，吉林人，公司财务总监陈某某某，32岁盗挖比特币被抓，是何某的妻子，也是吉林人。”潍坊市公安局网安支队民警王万涛说，他平时在家，很少去公司，公司的日常工作由妻子陈主持。

4月11日，潍坊市公安局网安支队、青州市公安局向大连派出50多名精干人员。经周密部署，专案组在大连升平公司和何某家中展开抓捕行动，将16名涉案犯罪嫌疑人全部抓获。经审查，何某、陈某等12人因涉嫌非法控制计算机信息系统被拘留，赵某等4人被取保候审。

随后盗挖比特币被抓，专案组对大连升平网络科技有限公司下线进行梳理抓获。4月18日，专案组在哈尔滨捣毁讯博网络科技有限公司，将张某（男， 36岁，哈尔滨人）和高某（男，36岁，哈尔滨人）。两名犯罪嫌疑人利用职务便利，将挖矿木马与黑龙江省网吧使用的网管软件捆绑在一起，非法控制了486家网吧，共计5.9万台电脑主机，其中1.5万多台电脑被用于“挖矿”。 ”。

4月19日，专案组在佛山抓获杜某雄（男，33岁，广东佛山人），查获一个dll挖矿程序。 “这名嫌疑人也是一名网络管理员，利用网管软件捆绑‘挖矿’木马控制主机。嫌疑人是大连升平公司的最大代理人，在落网前已经赚了100多万元。 王万涛介绍。

自动监控CPU使用率，当CPU使用率低于50%时开始挖矿

38岁，大连升平公司实际控制人，非法控制计算机信息系统的老手。之前他一直活跃在南方，2014年就因为这个被处理了。

2014年下半年，他在大连成立公司，开展广告增值服务。起初只有几个人，后来发展到四十多人。 “所谓的广告增值服务也是走在灰色地带，通过启动广告、弹窗广告和隐藏广告帮助其他公司进行推广，并根据实际点击量收费。”王万涛说，这也需要招聘代理。推广客户端实现，他的客户端就是58快推增值客户端。

从 2014 年开始，以比特币为代表的虚拟数字货币开始流行，导致众多虚拟数字货币涌现。看到这个“窗口”，他开始不愿只推销增值客户。 2015年起，指示公司副总裁兼运营总监张某宁组织研发、测试部门开发“挖矿”木马。

为此，公司研发部负责开发“挖矿”监控软件，集成“挖矿”程序；测试部负责测试，客服部负责开发线下代理并指导使用。线下代理从迅推平台下载增值客户端程序后，通过各种方式非法将增值客户端植入网吧主机，并默默下载“挖矿”监控软件和“挖矿”程序，跑。硬币将被转移到他的虚拟货币钱包中。其中，杨某宝等人为其线下代理商。

“一旦主机被植入木马，只要主机开机，它的监控软件就会分析电脑CPU的使用率，一旦低于50%，就会开始‘挖矿’ “挖矿”程序。如果CPU使用率高，就停止‘挖矿’，以防被发现。”田爱伟说，即使杀毒软件发现杀掉，他的公司还是可以通过修改一些数据来避开杀毒软件。升级程序。

据统计，自2015年以来，何某等人非法控制389万台电脑主机以宣传增值利润，在超过100万台电脑主机上默默安装挖矿程序，并在过去三年。比特币”）、DCR币（“德赛币”）、SC币（“云盛币”）超过2600万，非法获利总额超过1500万元。

办案民警称，犯罪分子通常会提前调研市场，挖掘难度较低的虚拟货币，非法控制用户电脑主机，植入该虚拟货币的挖矿程序进行挖矿。矿币快速套现提现后，获得高额利润。但是，当用户植入挖矿木马的电脑主机经常长时间高负荷运行挖矿时，显卡、主板、内存等硬件会提前报废，造成严重损坏。互联网用户的权利。