挖矿软件藏身免费版PC游戏软件入侵用户电脑

游戏玩家注意，安全研究人员发现一只挖矿软件借由多款貌似免费版的PC游戏软件散布，以便利用用户电脑资源挖加密货币。

起因是Avast发现去年有用户在Reddit反映，电脑上的Avast防毒软件资料夹被清空，促使这家厂商调查。结果发现是使用者透过Torrent网站下载的免费版PC游戏软件肇祸；这些PC游戏软件内藏恶意软件，研究人员将这只恶意程式称作Crackonosh，因为他们判断作者可能来自捷克。它主要目的是利用用户电脑资源挖矿，而且具备关闭防毒软件等反侦测能力。

Crackonosh经由Torrent网站、论坛或非官方软件平台网站散布，研究人员找到至少有11款游戏软件被注入安装器，包括《NBA 2K19》、《侏罗纪世界：进化Jurassic World Evolution》、《侠盗猎车手VGrand Theft Auto V》、《极地战嚎Far Cry 5》、《模拟市民 The Sims 4》、《异尘余生Fallout 4》。

恶意程式作者在盗版软件中植入Crackonosh的安装器，等用户下载到电脑安装后，即展开释出挖矿软件的过程。这个安装器迫使电脑多次重开机，使电脑进入安全模式。由于在安全模式下防毒软件无法执行，它会借此关闭删除防毒软件、同时关闭Windows Security。另外它也会删除serviceinstaller.msi和maintenance.vbs以掩饰活动纪录。Cracknosh最终目标是挖矿，最终安装的专门挖门罗币（Monero，XMR）的软件XMRing。

分析Crackonosh的核心执行档，研究人员研判它从2018年1月31第一代开始日，到2020年11月23日，已演化出至少30个版本。

研究人员分析Cracknosh有能力关闭的防毒软件，还包括Adaware、Bitdefender、Escan、F-secure、Kaspersky、McAfee、Norton、Panda。

研究人员从去年12月7日起开始追溯，当时Crackonosh感染了1.5万台装置，直到5月每天都还平均感染数千台装置。主要受害者集中在北美（包括阿拉斯加）、巴西、印度、菲律宾及德国。研究人员告诉CNBC，巴西、印度及菲律宾是灾情最重的地区。将近6个月中，共有22万台Windows PC感染了Crackonosh。根据研究人员找到的门罗币电子钱包计算，骇客已挖了9000个门罗币，价值约200万美元。

研究人员呼吁用户不要贪小便宜，从不知名或陌生的网站下载可以不需付费的软件，以便受害。