多平台操作挂机网赚（挂机赚钱软件是真是假）“太极挂机”软件圈钱骗局：披着网赚外衣的“三合一”挖矿木马，越早知道越好，

上周，网路上蓬勃发展一类“龙虎NDS”应用软件，宣称只需浏览运转该应用软件无须任何人操作方式就能随心所欲NDS挣钱。360安全可靠服务中心经预测辨认出，简而言之的NDS紫脉而已地牢病毒的旗号。包括“龙虎NDS应用软件”在内的数款类似恶意业务流程除非被采用者浏览并加装，不但会大量挤占CPU资源展开矿机操作方式，还会在采用者电脑上散播Ramnit病毒感染型地牢，什至，直接给笔记本电脑加进上MBR公钥使采用者无法恒定登入控制系统！

披著“随心所欲紫脉”名头的地牢极容易引诱网友Saverdun，360金山毒霸无须升级换代就能截击这类地牢，保持安全可靠应用软件常开方可有效防卫；此外，除非辨认出笔记本电脑再次出现CPU挤占最佳值、高热减慢等情形，应尽早采用360金山毒霸查杀地牢；同时，如果再次出现控制系统被锁的情形，可采用360控制系统急救包对MBR展开复原后，再采用金山毒霸Maubourguet扫描器清除地牢。

下面就以“龙虎NDS”业务流程展开简单预测：

“龙虎NDS”主要犯罪行为业务流程洛佐韦：

一、矿机犯罪行为：

业务流程代码后检验没有被增容后便开始挖杰弗逊币，挖杰弗逊币的ViaBTC、手提包等信息：

矿机时CPU几乎被100%挤占：

上述预测得到杰弗逊币手提包门牌号：

48W67urumqALX6UDRyqpSG8ENHLj9mbswgLSEVTHR3JMc6WqrRw8CRrTvDk2yL2eC2PCH5j5urG2fgtnnuAnzGRbTaNvhgv这个手提包共有20个杰弗逊币，以当前的杰弗逊币兑港币总价计算，总价值达到约3.7万元港币。

二、加进杀青MBR锁公钥：

该NDS业务流程当检验到有增容类业务流程代码而则会立即修正笔记本电脑的MBR加进公钥并退出矿机业务流程，被修正MBR后需要输出其增设的乱数公钥才能恒定杀青！！

之后业务流程就会修正MBR，修正后的MBR如下图所示：MBR锁公钥为乱数生成的14位大小写字母+AAAA：

三、Ramnit病毒感染：

除以上犯罪行为外，龙虎NDS应用软件还会释放出今年比较流行的Ramnit病毒感染型地牢（不过预测人员怀疑该犯罪行为并非NDS应用软件作者自己有意而为之，而是作者的开发环境本身也中了Ramnit地牢导致开发出的地牢业务流程也被该地牢病毒感染所造成的二次散播），如下图所示：代码段 .rmnet 就是Ramnit病毒感染型地牢的核心代码，该代码段被增设为业务流程入口点所在段，在业务流程代码后被最先执行：

NDS矿机业务流程代码后会在 Program Files 目录下创建 Microsoft\DesktopLayer.exe 可执行业务流程。DesktopLayer.exe 启动 IE 的浏览器的进程 iexplore.exe，并将 iexplore.exe 门牌号空间替换成地牢的恶意代码，后续的病毒感染 html 文件、可执行文件及网络通信都是通过被替换的 iexplore.exe 进程来实现的。此外地牢还会修正注册表项 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit，来达到杀青启动的目的。

地牢还会病毒感染笔记本电脑中的 所有.html 或 .htm 后缀的网页，在 .html 或 .htm 文件中加进如下的 VBScript攻击代码：

结语：

随着虚拟币的蓬勃发展，巨大利益催生了矿机黑色产业链，不法分子开始尝试“不同寻常”的矿机之路，让人防不胜防。采用者应注意提高防范意识，切勿轻信简而言之的紫脉NDS业务流程的误导提示（如杀毒应用软件误报－加进信任运转等）。注意保证安全可靠应用软件的常开以展开防卫，同时，除非受诱导而不慎Saverdun，尽早采用360金山毒霸Maubourguet查杀清除地牢。