正常使用的电脑被非法控制替别人“干活”，用户却浑然不知。原来，电脑被植入了挖矿程序及挖矿监控程序，监控程序只要监测到电脑CPU利用率低于50%，挖矿程序就会在后台静默启动，通过大量耗费被控电脑的CPU、GPU资源和电力资源，持续不断地挖取虚拟货币，并将这些虚拟货币转至控制者处，从而提现牟取暴利。

　　近日，山东省潍坊市公安局网安支队会同青州市公安局在公安部、山东省公安厅指导下，在腾讯守护者计划安全团队协助下，按照公安部和省公安厅“净网2018专项行动”部署要求，成功破获部督“1·03”特大非法控制计算机信息系统案，目前抓获犯罪嫌疑人20人，取保候审11人，批捕9人。

　　经查，大连昇平网络科技有限公司研发挖矿监控软件、集成挖矿程序后，通过发展下线代理，非法控制了全国389万台电脑主机做广告增值收益，在100多万台电脑主机静默安装挖矿程序。两年间，共挖取DGB币(极特币)、DCR币(德赛币)、SC币(云产币)2600余万枚，共非法获利1500余万元。

　　据了解，虽然非法控制计算机信息系统的违法犯罪屡见不鲜，但数量达到如此之巨，且通过植入静默挖矿程序这种新型手段进行虚拟货币变现，这在全国是比较少见的。

　　游戏外挂暗藏挖矿木马程序

　　2018年1月3日，潍坊市公安局网安支队接腾讯守护者计划安全团队报案称，腾讯电脑管家检测到一款游戏外挂暗藏了木马程序，该木马程序具备后台静默挖矿功能。

　　“挖矿，就是通过大量计算机运算获取数字货币—虚拟货币奖励，这个过程对电脑硬件配置要求比较高，主机经常长期高负荷运转，显卡、主板、内存等硬件会提前报废，对电脑的损害极大。”办案民警介绍。

　　办案民警说，违法犯罪人员通常提前调研市面上挖取难度较低的虚拟货币，通过云计算、显卡云计算业务非法控制用户的电脑主机，植入这种虚拟货币的挖矿程序进行挖矿。用户对此毫无察觉，只要电脑处于开机状态，挖矿程序就在后台静默运转，在挖取到大量矿币后迅速转至控制者那里变现提现，牟取高额利润。　

　　初步统计，该木马程序感染数十万台用户机器。潍坊市公安局网安支队接案后，迅速研判案件线索，通过互联网提取到外挂木马样本，找到木马开发者建立的木马交流群，初步查明该款木马程序开发者在青州市。潍坊市公安局网安支队将该案情通报青州市公安局，由市局网安支队、青州市局成立专案组，对该案立案侦查。

　　专案组确定交流群群主身份为杨某宝。通过侦查发现，杨某宝建立了多个外挂讨论群，在群文件中共享外挂程序；同时，利用“天下网吧论坛”版主的身份，将上传含有木马的外挂程序到“天下网吧”论坛供网民下载，并通过百度网盘进行分享下载。

　　3月8日，专案组制定了详细的抓捕方案，在杨某宝家中将其抓获。

　　科技公司研发木马程序发展代理

　　经审讯，杨某宝对利用外挂、“酷艺VIP影视”非法控制计算机信息系统的不法事实供认不讳。杨某宝交代曾被58迅推增值联盟雇佣，利用该平台增值客户端非法挖矿共同获利。

　　专案组迅速查清58迅推增值联盟的幕后公司为大连晟平网络科技有限公司，并掌握了这家公司的组织架构，摸清公司幕后控制人为贺某、公司财务主管为陈某(贺某妻子)。

　　4月11日，专案组抽调精干力量50余人赶赴辽宁大连，经过周密部署，抓获全部涉案嫌疑人16名。通过审查，贺某、陈某等12人涉嫌非法控制计算机信息系统罪被刑事拘留，赵某从等4人被取保候审。

　　随后，专案组对大连晟平网络科技有限公司的下线进行梳理，并开展抓捕。

　　4月18日，专案组在黑龙江哈尔滨打掉迅博网络科技有限公司，抓获张某、高某，查清该二人利用职务之便，向黑龙江省各网吧使用的某网管软件捆绑了挖矿木马，非法控制近6万台电脑主机。

　　4月19日，专案组在广东佛山将杜某熊抓获，查缴一款dll挖矿程序。

　　“大连晟平网络科技有限公司是上线，提供技术支持，研发了挖矿监控软件、集成挖矿程序，然后发展了全国几百名下线从事代理。”办案民警介绍，这些下线手中掌着全国389万台电脑的庞大资源，大连这家公司与下线达成合作协议，不仅向这389万台电脑发送广告获利，还选择其中100多万台进行后台静默挖矿，这两部分的利润由上线与下线按比例分成。

　　揭开挖矿木马牟利产业链

　　通过审讯查清，杨某宝涉嫌侵犯著作权非法牟利，仿冒“爱奇艺”，编写了“酷艺VIP影视”服务端和客户端，在全国范围内发展了60多个代理，以年卡、月卡方式向全国网吧兜售。杨某宝共向全国2465家网吧卖出年卡5774张，季卡282张，半年卡116张，月卡3285张，非法牟利20余万元。

　　同时，杨某宝开发了外挂程序，具备“自动瞄准”“透视”“子弹加速”“子弹追踪”“物品显示”等功能，通过社交群和论坛宣传，并供网民免费下载发展大量用户。

　　“杨某宝通过上述两种渠道掌握了大量电脑资源，共计有3万多台电脑主机。作为大连晟平网络科技有限公司的大客户，他利用其迅推的增值客户端控制了这些电脑，植入挖矿木马程序后，大连这家公司提取虚拟货币套现，和杨某宝分成，杨某宝共非法获利26.8万余元。”办案民警介绍。

　　对于大连晟平网络科技有限公司，经查，从2015年以来，贺某指使公司副总兼运营主管张某宁组织研发、测试部门对挖矿木马研发，研发部负责研发挖矿监控软件、集成挖矿程序，测试部负责测试，客服部负责发展下线代理并指导使用。

　　“就像杨某宝一样，全国几百名下线代理从迅推平台下载增值客户端程序后，通过多种方式将增值客户端非法植入到网吧主机中，并静默下载挖矿监控软件和挖矿程序运行，挖到的矿币会转移到贺某的虚拟货币钱包中，陈某随时进行变现提现，陈某按照控制的终端数向代理分发提成。”办案民警说。

　　据了解，杨某宝曾做过网吧管理工作，在电脑编程方面自学成才，非常有研究。尝到甜头的他后来不满足于受制于上线，他对58迅推的增值客户端、挖矿程序进行修改，内嵌了自己的HSR(“红烧肉币”)钱包地址，被控主机在挖矿时挖到的矿币会转到自己的HSR钱包中。经统计，自2017年10月至案发，杨某宝共挖取了8551.9枚HSR币(最高价格252元/枚，目前42元/枚)。