近年来，随着区块链的火爆，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。据调查，2018上半年恶意挖矿病毒利用率从13%上升到28%，攻击者向目标设备展开攻击并植入挖矿程序，来盗取其计算资源进而获取加密货币的案例屡见不鲜，为网络安全环境带来很大威胁。 近日，就有一家深圳大型制造企业的运维部门向浙大网新求助，该公司的300多台作业机器感染了名为DeviceConfigManager的蠕虫病毒，病毒通过可移动存储设备和网络驱动器等方式进行传播传播。感染后，病毒会将移动设备、网络驱动器内的原有文件隐藏起来，并创建一个与磁盘名称、图标完全相同的快捷方式，诱导用户点击，从而执行勒索、挖矿等破坏行为。 接到任务，浙大网新连夜派出网新恒天SEG（系统安全检测服务）、白盾（企业白名单安全产品）、IMS（专业运维）6人团队，对机房进行病毒查杀。安全工程师们发现病毒作者十分狡猾，对蠕虫病毒及其下载的全部病毒模块使用了混淆器，很难被检测到。同时，其下载的挖矿病毒只会在用户电脑空闲时进行挖矿，并且占用CPU资源很低，隐蔽性非常强，市面上的安全产品对该病毒都无可奈何。 团队意识到问题的严峻性：客户方明令要求不能停止生产，如果无法同时全部查杀，一旦有人使用局域网，病毒就会卷土重来，因此查杀的第一步就是控制传播，并在短时间内对300台机器同时查杀。 网新安全团队连夜讨论出2种解决方案： 1、偷天换日：将共享文件夹的可执行权限收回，替换成干净的同名文件，防止用户启动病毒。 2、隔离围剿：将蠕虫新建的文件夹可执行权限收回，保护未感染用户，再对病毒进行逐一排查。

图1：网新安全工程师穿着防护服工作

生产要求无菌环境，团队成员均穿着防化服，为工作加大了难度。为不影响生产进度，6位工程师在非工作日，对300多台电脑逐一排查、重启，终于在8个小时内查杀完毕，同时对企业员工的移动存储设备使用情况进行彻查，避免病毒死灰复燃。 “后续我们也安排了一名运维人员驻场进行收尾工作，也提醒企业提高安全意识，不要让机器‘裸奔’。”网新恒天SEG负责人刘传兴说道。 此项目持续时长3周，浙大网新为客户方提供包括咨询、检测、查杀、运维在内的整体解决方案，在保证不影响生产环境的情况下同时查杀，以丰富的业务经验和领先的技术水平，结合针对病毒快速制定解决方案，积极调动公司资源，帮助企业重新部署安全防火墙，及时遏制住病毒的进一步爆发，提高了企业基层的生产安全意识。这也是浙大网新安全团队与挖矿病毒的首次正面交锋，未来我们将更多地投入研究针对此类病毒的安全解决方案，为企业安全保驾护航。 关于白盾 白盾是浙大网新(上海证交所600797)打造的一款计算机安全管理软件，采用创新机制严格、精准控制程序的运行。区别于传统安全和防病毒软件只能防护已知风险，白盾采用白名单机制管理可执行程序(EXE)、操作系统内核模块(SYS)、以及动态链接库文件(DLL)，所有其余未许可的执行动作一律拦截。白盾通过对操作系统执行机制的深入理解和管控，可以保障计算机安全运行可信程序，杜绝“零日攻击”的威胁。白名单可智能区分正常更新与恶意篡改，白名单可自动更新，维护简单、安全可靠，是企业计算机安全的保护盾。