Скрытый майнер на компьютере: как найти и удалить?

2384
Скрытый майнер на компьютере: как найти и удалить?

Скрытый майнер редко ведет себя как классический вирус: не блокирует экран, не показывает требование выкупа и может неделями выдавать себя только шумом вентиляторов. Суть неприятная: программа использует процессор, видеокарту, память и электричество владельца компьютера, чтобы добывать криптовалюту для чужого кошелька. Поэтому искать нужно не один файл, а всю цепочку: нагрузку, процесс, путь, автозапуск и причину появления. Сейчас расскажу обо всем по порядку.

Что такое майнер и как он работает

Майнером называют программу для добычи криптовалюты. В нормальном варианте пользователь сам выбирает приложение, пул, кошелек и нагрузку. Скрытый майнер запускается без согласия владельца, считает задачи для чужого кошелька и старается не привлекать внимание. Из-за этого компьютер шумит, греется, быстрее разряжается и тормозит даже без игры, видеоредактора или другого тяжелого софта.

Программа подключается к mining pool, получает задачи, нагружает CPU или GPU и отправляет результат обратно. Для Monero часто используют CPU, поэтому заражение возможно даже на офисном ноутбуке. XMRig сам по себе легален, но его часто запускают скрытно, переименовывают и настраивают на чужой кошелек.

Раньше заметной проблемой был браузерный майнинг: сайт или рекламный скрипт нагружал процессор через вкладку. Сейчас чаще встречаются зараженные установщики, пиратские сборки, фальшивые обновления, расширения браузера, задачи Windows и скрипты Linux. Некоторые майнеры снижают нагрузку при открытии «Диспетчера задач», поэтому быстрая проверка может обмануть.

  • Легальный майнер: установлен владельцем компьютера, имеет понятные настройки, пул и кошелек.
  • Скрытый майнер: запускается без разрешения и отправляет прибыль другому человеку.
  • Браузерный майнинг: связан с вкладкой, сайтом или расширением.
  • Системный майнер: живет в службе Windows, LaunchAgent macOS, systemd unit или cron-задании Linux.

Первые признаки и быстрая проверка

Высокая загрузка CPU сама по себе не доказывает заражение: Windows может обновляться, macOS индексировать файлы, Linux собирать пакет, браузер синхронизировать вкладки. Подозрение появляется, когда нагрузка держится долго, процесс неизвестен, путь к файлу странный, а после перезагрузки все повторяется. GPU тоже стоит проверить: видеокарта не должна быть постоянно занята без игры, монтажа или нейросетевого приложения.

На Windows откройте «Диспетчер задач» через Ctrl + Shift + Esc и отсортируйте процессы по CPU, GPU и «Энергопотреблению». По подозрительному процессу нажмите правой кнопкой и выберите Открыть расположение файла. Системные компоненты обычно находятся в C:WindowsSystem32, обычные программы в Program Files. Файл из AppData, Temp или Downloads нужно проверять особенно внимательно.

На macOS откройте «Мониторинг системы» через Spotlight или «Программы» > «Утилиты». На вкладке CPU отсортируйте процессы по % CPU, на вкладке «Энергия» посмотрите расход энергии. В Linux начните с top, htop и ps aux -sort=-%cpu | head -20; для NVIDIA полезна nvidia-smi.

Если тормозит только браузер, проверьте расширения. В Chrome и Edge диспетчер задач обычно открывается через Shift + Esc, в Firefox можно использовать about:performance.

Windows, macOS и Linux: где искать закрепление

На Windows майнер чаще всего держится через автозагрузку, «Планировщик заданий», службу или папку пользователя. Проверьте «Параметры» > «Приложения» > «Установленные приложения» и «Параметры» > «Приложения» > «Автозагрузка». В «Библиотеке планировщика заданий» ищите задачи, которые запускают PowerShell, cmd, wscript или exe-файл из AppData и Temp.

Для глубокой проверки Windows пригодится Autoruns из Microsoft Sysinternals. Он показывает службы, scheduled tasks, драйверы и другие точки запуска. Его плюс, подробность. Минус, риск отключить нормальный компонент, если нажимать наугад. Для сканирования используйте «Безопасность Windows» > «Защита от вирусов и угроз» > «Параметры сканирования» > «Полное сканирование». Если майнер возвращается, запустите Microsoft Defender Offline.

На macOS проверьте «Системные настройки» > «Основные» > «Объекты входа и расширения». Уберите неизвестные элементы из раздела «Открывать при входе» и проверьте фоновые элементы. Затем откройте «Системные настройки» > «Основные» > «Управление устройством»: неизвестный профиль управления может менять сеть, сертификаты и разрешения.

Если процесс на Mac появляется после перезагрузки, смотрите ~/Library/LaunchAgents, /Library/LaunchAgents и /Library/LaunchDaemons. В plist-файлах важны ProgramArguments, путь к исполняемому файлу и имя разработчика. На рабочем Mac не удаляйте профили и агенты вслепую: там могут быть VPN, EDR или корпоративный агент.

В Linux проверьте процессы, systemd, cron и пользовательскую автозагрузку. Майнеры часто попадают через слабый SSH-пароль, открытый Docker API, уязвимый веб-сервис или случайный shell-скрипт. Минимальный набор команд: top, ps aux -sort=-%cpu | head -20, readlink -f /proc/PID/exe, systemctl -type=service -state=running, crontab -l.

Сравнение инструментов для поиска майнера

Встроенные средства удобны для первого осмотра, но не всегда показывают всю цепочку. «Диспетчер задач» и «Мониторинг системы» помогают найти нагрузку, Autoruns и systemctl показывают закрепление, антивирус ищет вредоносные файлы.

Инструмент Система Сильная сторона Где отстает
«Диспетчер задач» Windows Показывает CPU, GPU, сеть и автозагрузку Не раскрывает все точки закрепления
Autoruns Windows Подробно показывает автозапуск и службы Требует аккуратности
«Мониторинг системы» и «Объекты входа и расширения» macOS Показывают нагрузку, расход энергии и фоновый запуск Не заменяют проверку LaunchAgents
top, htop, systemctl, cron Linux Дают прямой контроль над процессами и запуском Требуют работы в терминале
ClamAV Linux, Windows, macOS Полезен для файловой проверки и серверов Не заменяет расследование взлома

Как удалить майнер и снизить риск возвращения

Удаление состоит из трех действий: остановить процесс, убрать файл и отключить механизм запуска. Если пропустить последний пункт, майнер вернется после перезагрузки. Если не закрыть причину заражения, он может вернуться уже под другим именем.

  1. Отключите интернет, если видите постоянные подозрительные соединения.
  2. Завершите процесс только после проверки пути к файлу.
  3. Удалите связанную программу через штатный раздел приложений или пакетный менеджер.
  4. Отключите задачу, службу, LaunchAgent, systemd unit, cron-задание или расширение браузера.
  5. Запустите полное сканирование и перезагрузите компьютер.
  6. Обновите систему, браузеры и драйверы видеокарты.
  7. Смените пароли, если заражение связано с сервером, SSH или правами администратора.

На сервере после удаления майнера проверьте пользователей, ~/.ssh/authorized_keys, открытые порты, Docker-контейнеры, журналы входа и веб-каталоги. Затем пересоздайте SSH-ключи и обновите пакеты.

FAQ

Можно ли удалить майнер одним антивирусом? Иногда да, если заражение простое. При закреплении через службу, cron, scheduled task или расширение браузера нужно убрать не только файл, но и механизм запуска.

Почему антивирус молчит? Майнер может использовать легальные компоненты: XMRig, PowerShell, bash, Python, Node.js, curl или systemd. Подозрительным становится скрытый запуск, чужой кошелек и закрепление без согласия пользователя.

Главная мысль: скрытый майнер ищют по цепочке: нагрузка, процесс, путь к файлу, автозапуск и причина появления. Такой порядок быстрее, чем хаотично удалять подозрительные файлы и надеяться, что компьютер сам придет в порядок.

скрытый майнер Windows macOS Linux
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Реклама. 18+ ООО «Секъюритм» ИНН 7820074059
Бесплатный вебинар
КАК СТАТЬ CISO:
КАРТА РОСТА
Бесплатный вебинар 9 июля в 11:00 для тех, кто хочет развиваться в ИБ.
Записаться →

Техно Леди

Технологии и наука для гуманитариев