360安全中心监测到一个利用受感染服务器进行门罗币挖矿的僵尸网络。该僵尸网络控制的服务器数量最高峰时单日达到2万多台。在僵尸网络建立初期，利用“永恒之蓝”漏洞攻击武器入侵一定数量的计算机，并以此作为僵尸网络发展的基础。随后，这些计算机扫描其他计算机的1433端口（msSQL服务端口），并试图爆破目标计算机的msSQL服务。一旦爆破成功，就会登录SQL Server并执行恶意代码。目标计算机被僵尸网络控制后，还会通过1433端口入侵其他计算机。因此，僵尸网络不断扩大控制范围，最终形成现在的规模。

僵尸网络的传播离不开强大的Bot程序。通过代码同源性可以发现，该家族Bot程序的诞生可以追溯到2014年。2014年至2017年间，Bot程序经历了多个版本更新。最早的版本只是为了简单的入侵和远程控制。从2017年4月版本开始，Bot程序借鉴了各种扫描仪、爆破工具和著名的僵尸。 Network Mirai的实现增加了多种针对不同协议的扫描和爆破模块，针对msSQL实现了一套“入侵+利用+传播”的攻击模块。 Bot程序版本替换及传播量如下图所示。 （图中xx.x.x.x.x(x)代表Bot程序的版本，例如17.1.0.0.2(1)代表2017年编译的Bot程序变种1的1.0.0.2版本）

图1-1 Bot程序版本替换及感染负载概览

Bot程序高度模块化，集成了多种不同的功能，并具有完善的更新和持久化机制。

第二部分Bot程序分析

Bot程序由六个模块组成：主模块、更新模块、Scanner模块、Cracker模块、ServerAgent模块和cService模块。各个模块相互关联、相互协作。下面对各个模块所执行的功能进行分析。

主模块分析Bot程序以控制台的形式存在。在介绍主模块之前，我们先介绍一下Bot程序接收到的启动参数以及参数对应的功能。

表2-1-1 Bot程序接收的参数及对应函数

这些启动参数满足以下规则：

2.“-delete”参数会在删除之前关闭Bot服务。

3. 当不指定“-syn”参数时，默认扫描器为TCP_CONNECT模式。

4. 当“-srv”和“-cli”同时存在时，仅第一个参数有效。当两者都不存在时，默认值为“-srv”。

5、当程序启动参数包含“-s”时，主模块将作为服务执行，否则主模块将作为控制台执行。

主模块主要完成一些准备工作以及配置和启用其他模块。在节目准备方面，主要包括以下几个部分。

(1)获取系统信息。

图2-1-1 获取系统信息

(2) 判断系统类型是否为Server。

图2-1-2 判断系统类型

(3) 结束并禁用网络列表服务和网络位置感知。网络列表服务用于识别计算机所连接的网络，收集并存储这些网络的属性，并在这些属性发生更改时通知应用程序；网络位置感知用于收集和保存网络配置和位置信息，并在信息发生变化时通知应用程序。僵尸程序会关闭并禁用这些服务，以防止其自身的网络通信被记录。

图2-1-3 结束并禁用网络列表服务和网络位置感知

（4）结束并禁用SharedAccess和MpsSvc（互联网连接共享和防火墙服务），确保Bot程序的网络通信能够正常进行，并删除日志文件。

图2-1-4 结束并禁用SharedAccess和MpsSvc

主模块完成初始化工作后，会创建一个新的线程来执行更新模块。更新模块检查Bot程序版本并根据情况进行更新。同时，主模块也作为Scanner模块、Cracker模块和ServerAgent模块的入口。

更新模块分析更新模块是Bot程序自我更新的模块。当程序执行主模块时，会创建一个线程来执行更新模块，进行版本检查和必要的更新。更新模块每6 小时执行一次更新检查。

图2-2-1 创建线程执行更新模块

图2-2-2 调用Sleep函数定时执行更新模块

更新模块在进行更新检查时，首先获取程序当前的版本号，然后通过博客地址“http://blog.sina.com.cn/s/blog_16fb721c50102x6hw.html”获取加密后的CC IP地址。将加密后的IP地址去掉第一个和最后一个分隔符（***和@@@），用base64解密，并与0x36异或，得到真实的IP地址（本例中CC IP地址为67.229.144.218，以下简称“ip”）。

最新的Bot程序版本号存储在http://ip:8888/ver.txt中。更新模块读取版本号并与当前Bot程序版本号进行比较。当两者相同时，则认为程序已经更新到最新版本，继续执行后续功能；当两者不同时，程序就会更新。

图2-2-4 比较Bot程序版本和最新版本号

图2-2-5 最新版本号

如果Bot程序尚未更新到最新版本，请更新。最新版本的Bot程序是通过C://windows/system路径下的更新程序cabs.exe获取的。如果cabs.exe不存在，Bot程序会从http://ip:8888/ups.rar下载cab.exe并启动程序进行更新。

图2-2-5 下载更新程序cab.exe并开始更新

cabs.exe会判断当前计算机系统是否为Windows Server，只有当前计算机系统为Windows Server时才会执行更新。

图2-2-6 判断当前系统是否为Windows Server

如果当前计算机系统为Windows Server，请访问http://ip:8888/update.txt获取最新的下载列表，并将下载列表下载到c:\\windows\\system路径下并命名为upslist.txt。

图2-2-7 下载下载列表

下载列表包含两个文件ps.jpg 和my1.html。

图2-2-8 下载列表内容

ps.jpg是最后拼接有PE文件的图片。该PE文件是Bot程序的最新版本。

图2-2-9 最新版本Bot程序图片

图2-2-10 图中检测到的PE文件特征

my1.html是一个批处理脚本，其功能与Cracker:mssql模块发布的批处理脚本123.dat基本相同。主要是创建一些需要的文件夹，并为后续的Cracker模块配置环境。

下载完成后，cabs.exe会结束Bot程序的进程和服务，更新相关文件，然后重新启动Bot进程和服务。

扫描仪模块分析扫描仪模块是从masscan（github：https://github.com/robertdavidgraham/masscan）修改而来的。 Masscan是一款快速灵活的端口扫描器，在Windows下可以以每秒300,000个数据包的速度发送数据包。

Bot程序在调用scanner模块进行扫描之前，会配置一个exclusionfile，该文件指定IP段黑名单。不会扫描此范围内的IP 地址。 IP黑名单以字符串的形式存储在Bot程序的资源段中。扫描仪模块在临时文件夹中创建一个排除文件。读取资源后，将IP黑名单写入排除文件中。

图2-3-1 读取IP黑名单资源并写入排除文件

2017年4月编译的1.0.0.2版本和5月编译的1.0.0.3版本其中一个变种均未发现IP黑名单。 5月份编译的1.0.0.3版本的另一个变种中发现了IP黑名单。黑名单。

图2-3-2 Bot程序资源部分存储的IP黑名单

对于每个A 类IP，扫描器模块排除一些B 段。由于完整的网络扫描很容易监控，因此排除某些IP 地址可以降低被发现的风险。

图2-3-3 扫描模块排除部分IP 地址后对整个网络进行扫描。

扫描模块可以扫描的端口包括端口1433、端口3306、端口135、端口22、端口445、端口23、端口80 和端口3389。

图2-3-4 扫描模块扫描的部分端口

Scanner模块可以通过两种模式进行端口扫描，即TCP_SYN扫描和TCP_CONNECT扫描。使用哪种扫描模式由参数“-syn”决定。如果启动参数包含“-syn”，则选择TCP_SYN模式进行端口扫描，否则选择TCP_CONNECT模式进行端口扫描。当选择TCP_SYN模式进行端口扫描时，Bot程序仅发送SYN帧，响应SYNACK帧则打开端口，响应RST帧则关闭端口；当选择TCP_CONNECT模式进行端口扫描时，Bot程序会尝试连接目标端口，如果端口开放则连接成功。否则连接失败。

图2-3-5 两种不同的扫描模式

Scanner模块会记录开放的特定端口的IP地址，并与ServerAgent模块、Cracker模块交互，完成“端口扫描+爆破+入侵”的一系列任务。

ServerAgent模块分析ServerAgent模块由两个函数组成。首先是将扫描结果发送给CC；二是相应配置端口扫描和爆破。

ServerAgent模块在扫描仪模块扫描过程中连接CC。当scanner模块扫描到开放端口时，ServerAgent模块会将相应的IP地址和端口号发送给CC。

图2-4-1 ServerAgent模块连接CC

另外，ServerAgent模块下载密码字典，并为Cracker模块配置密码字典。当扫描模块扫描到某个IP地址的特定端口开放时，就会使用这个字典进行爆破。词典的下载地址为http://ip:8888/wpd.dat。下载完成后，ServerAgent模块会从http://ip:8888/wpdmd5.txt中获取正确的密码字典MD5值，并与下载的字典wpd.dat的MD5值进行比较，从而确定下载文件。正确性。下载的密码字典wpd.dat已加密。 ServerAgent模块读取密钥“cm9vdCpwd2Q=”，base64解密该密钥，并使用它来解密wpt.dat。解密后的wpd.dat部分如下图所示。

图2-4-2 部分密码字典

wpd.dat实际上是一个xml文件，其中包含mysql、mssql、telnet、wmi、ssh、rdp以及不同入侵方式执行的shell的密码字典。另外，wpd.dat 中有一个名为ports 的键。当该键的子键值为1时，ServerAgent模块将配置扫描器模块扫描该子键对应的端口。

图2-4-3 端口按键概览

默认的wpd.dat中，只有mssql子键的值设置为1，因此scanner模块只扫描mssql服务对应的端口（端口号1433）。黑客可以通过配置wpd.dat文件来增加、减少或修改扫描端口的数量和类别。

图2-4-4 从抓包数据中发现Bot程序只扫描1433端口

有趣的是，ServerAgent模块会随机选择一个IP段作为每轮扫描的IP范围，这与Mirai僵尸网络的做法非常相似。如下所示，get_random_ip函数生成的随机IP段为220.176.171.93~220.182.171.87，因此扫描器模块在本轮扫描中扫描到该IP段。

图2-4-5 ServerAgent模块计算并选择随机IP段

图2-4-6 测试时生成的随机IP段

图2-4-7 从抓包数据中可以发现，Bot程序在本轮扫描中扫描的是其随机生成的IP段。

Cracker模块分析

Cracker模块是Bot程序中最重要的模块。该模块用于危害目标计算机并在目标计算机上执行恶意代码。 Cracker模块分为多个小模块。分析的样本包括四个小模块：Cracker:CCTV、Cracker:mssql、Cracker:RDP和Cracker:Telnet。根据入侵端口的不同，Cracker模块提供了不同的攻击方式。下面描述了每种攻击的实现。

5.1 Cracker:mssql

由于Bot程序的默认密码字典wpd.dat指定扫描的服务是msSQL，因此Cracker:mssql模块是所有Cracker模块中最完整的。该模块执行的恶意操作可以在大多数受感染服务器的msSQL 服务中找到。

Cracker:mssql模块首先使用爆破字典来爆破目标的msSQL服务。如果目标爆破成功，则登录SQL Server执行下一步。

登录SQL Server后，需要获取SQL Server中执行shell的权限。因此，Cracker:mssql模块使用多种方法尝试获取执行shell的权限，包括：

恢复xp_cmdshell。

图2-5-1 恢复xp_cmdshell

打开被禁止的xp_cmdshell。

图2-5-2 打开xp_cmdshell

删除xp_cmdshell后，使用SP_OACreate执行shell。

图2-5-3 使用SP_OACreate执行shell

打开启用CLR 的选项并使用SQL Server CLR 执行shell。

图2-5-4 开启CLR启用选项

注册regsvr32.dll执行远程代码所需的组件，并使用regsvr32.dll执行shell。

图2-5-5 寄存器相关组件

通过沙箱执行shell。

2-5-6 通过沙箱执行shell

启动SQL Agent服务并使用SQL Agent服务执行shell。

图2-5-7 启动SQL Agent服务

Cracker:mssql模块执行的主要功能主要包括以下几个方面：

在c:\\windows\system32\wbem下创建批处理文件dat，并将内容写入文件中。

图2-5-8 创建123.bat

该批处理文件执行的功能包括对运行某些程序所涉及的文件和文件夹设置权限；使用regsvr32.dll执行远程代码；判断item.dat是否存在，如果存在则调用rundll32执行程序。 item.dat是从PCShare（github：https://github.com/isuhao/pcshare）修改而来的远程控制程序。 CC通过item.dat控制Bot。

创建ini文件，并将内容写入文件中。

图2-5-9 创建PerfStringse.ini

该文件是一个组策略模板文件，主要是禁止一些涉及到的文件的访问权限。创建模板文件后，调用secedit.exe配置组策略。

图2-5-10 调用secedit.exe配置组策略

在c:\\windows\system下创建dvr文件，并将内容写入该文件中。

图2-5-11 创建myusa.dvr

myusa.dvr 是一个ftp 下载脚本。其主要功能是从down.mys2016.info下载文件1.dat到本地c:\\windows\system路径下并命名为myusago.dvr；下载1.bat到本地c:\\windows\系统路径下，命名为backs.bat。

myusago.dvr也是一个ftp下载脚本，从down.mys2016.info下载多个文件到本地； backs.bat用于记录系统时间并写入1.txt中。

图2-5-12 myusago.dvr内容

下载的文件中，item.dat是CC用来控制Bot的远程控制软件； ms.rar实际上是Bot程序的更新程序cab.exe； Cracker:mssql模块释放的ss.bat和123.bat是同一个文件；未找到op7key.rar 文件。猜测和爆破字典类似。

从myusago.dvr下载的文件中不难看出，Bot程序除了执行Cracker:mssql模块中的硬编码恶意代码外，还通过云端下载相应的恶意程序，这保证了与Bot程序可以继续驻留。在分析过程中，我们发现用于环境配置和程序运行控制的123.bat批处理脚本更新频率最高，自2017年4月以来更新次数超过10次。

myusago.dvr 和myusa.dvr 将作为ftp 参数写入命令行并添加到SQL Agent 作业中，每天执行一次。

使用参数“-syn 1000”将Bot程序添加到SQL代理作业中。每次SQL Agent 启动时，Bot 程序也会启动。

图2-5-13 将Bot程序添加到SQL Agent作业中

每20 分钟运行一次C:\\Progra~1\mainsoft\install.exe 作为作业。该程序是一个赚取积分的软件。

图2-5-14 以Job形式执行install.exe

每20分钟以作业的形式执行C:\\windows\debug、C:\\Progra~1\\shengda和C:\\Progra~1\\kugou2010路径下的所有exe。通过我们的监控，我们发现这些路径中存在Bot程序释放的矿机以及能够给黑客带来直接利润的程序。黑客通过定期启动这些程序来确保稳定的利润流。

图2-5-15 C:\\windows\debug下exe的定时执行

图2-5-16 C:\\Progra~1\\shengda下exe的定时执行

图2-5-17 C:\\Progra~1\\kugou2010下exe的定时执行

创建ftp下载脚本msinfo.dat，将down.mys2016.info中的文件下载到C:\\windows\debug路径下，并命名为bss.exe。然后通过批处理脚本msinfo.bat调用ftp执行下载脚本。下载完成后，启动bss.exe，删除这两个脚本。 bss.exe疑似远程控制木马。

图2-5-18 msinfo.dat内容

图2-5-19 msinfo.bat内容

将dat和123.bat添加到启动项中。

图2-5-20 将item.dat添加到启动项中

图2-5-21 将123.bat添加到启动项

确认权限允许后，删除SQL用户，设置SQL SA（超级管理员）账号和密码，同时添加多个SQL账号。完成这一步后，黑客正式接管了计算机的SQL Server，管理员无法再通过之前的账户登录SQL Server。

图2-5-22 添加SQL SA

Cracker:mssql 模块还通过SQL Server 执行多个shellcode。大多数shellcode 以SQL 代理作业的形式存在并定期执行。

第一段shellcode使用wmi中的ActiveScriptEventConsumer类来执行脚本代码。该脚本读取http://www.cyg2016.xyz:8888/test.html网页内容，根据网页内容获取第二组URL，下载文件并执行。

图2-5-23 第一个shellcode内容

图2-5-24 下载矿机并更新程序

第二段shellcode使用js脚本执行恶意代码。脚本功能与第一段shellcode中的jscript代码相同。

图2-5-25 第二个shellcode内容

图2-5-26 第三个shellcode内容

图2-5-27 第四个shellcode内容

图2-5-28 第五个shellcode内容

图2-5-29 第6个shellcode内容

第七个shellcode使用js脚本访问http://www.cyg2016.xyz:8888/kill.html。此页面是文件名列表。该脚本搜索系统以查看是否存在与此页面返回的文件同名的文件。如果存在，则结束相应的进程并删除该文件。这些文件大部分是其他入侵者释放的矿工文件。

图2-5-30 第7个shellcode内容

图2-5-31 待删除文件列表

第八段shellcode将123.bat添加到启动项中，这里不再赘述。

第九段shellcode将文件从http://down.mys2016.info:280下载到C:\\WINDOWS路径并命名为ps.exe。 ps.exe实际上是PsExec，一个强大的远程执行工具，黑客将其部署在每台被入侵的计算机上，将每台计算机变成控制终端，方便构建庞大的僵尸网络。

图2-5-32 第9个shellcode内容

第十段shellcode主要是完成SQL提权的一系列操作。

图2-5-33 第十个shellcode内容

第11 段shellcode 是使用SQL Server CLR 执行shell 的有效负载。从payload中可以发现，它访问了http://www.cyg2016.xyz:8888/clr.txt，并执行了页面中返回的内容。

图2-5-34 部分载荷

该页面与http://www.cyg2016.xyz:8888/test.html一致，即下载更新程序和矿机到电脑并运行。

Cracker:远程登录

Bot程序在执行Cracker:Telnet模块之前，会在ServerAgent模块中配置Telnet入侵攻击的payload。 ServerAgent模块从资源段中读取payload，并根据不同的平台架构将其转换为十六进制字节码。

图2-5-35 从资源段读取payload

我们在有效负载中发现了一些与Mirai 相关的徽标。通过比对，我们发现Bot程序使用的payload就是mirai僵尸网络的payload（github：https://github.com/jgamblin/Mirai-Source-Code/tree/master/loader/bins）。这些有效负载适用于不同的平台架构（arm、arm7、m68k、mips、mpsl、ppc、sh4、spc、x86）。

图2-5-36 Payload中Mirai相关标识

除了与mirai相同的payload之外，Cracker:Telnet模块也基本从mirai源码修改而来，包括密码爆破和入侵功能。

图2-5-37 Cracker:Telnet模块中的Mirai功能

Mirai通过Telnet入侵之前，会配置一个IP地址作为报告服务器地址，以返回扫描结果。在分析过程中，我们还发现了一个可疑的报表服务器IP地址。如果Bot程序的启动参数中包含“-srv”，则ServerAgent模块将从密码字典中读取名为telnetip的子键的键值。键值是IP地址，然后传递给Cracker:Telnet模块。如果启动参数中包含“-cli”，则Bot程序将从当前目录下的wpdconfig.ini文件中读取IP地址。

图2-5-38 报告密码字典中的服务器地址

由于Cracker:Telnet模块与mirai几乎相同，这里不再赘述。有兴趣的读者可以查看mirai源代码（github：https://github.com/jgamblin/Mirai-Source-Code）。

破解器：RDP

Cracker:RDP模块是从Hydra的RDP部分修改而来的（github：https://github.com/vanhauser-thc/thc-Hydra）。 Hydra是一款功能强大的暴力破解工具，支持多种网络服务。 Cracker:RDP 模块使用其源代码中的rdp.c 文件来攻击打开RDP 服务端口的计算机。与Cracker:mssql模块和Cracker:Telnet模块不同，Cracker:RDP模块仅进行爆破，没有添加任何入侵和代码执行功能。

图2-5-

39 Cracker:RDP模块扫描端口 Cracker:CCTV Cracker:CCTV模块是一个CCTV摄像头入侵模块。该模块会向http://Targetip:port/shell?…（…的内容猜测是用户名&密码）发送GET请求，一旦请求返回的状态值不为400，401，403，404或500，则认为该ip地址和端口号对应的CCTV摄像头可以被入侵。 图2-5-40 Cracker:CCTV模块扫描CCTV摄像头 由于在密码字典wpd.dat中并没有配置CCTV相关的键值,猜测该模块是和Cracker:Telnet模块结合使用的。由于mirai中含有识别特定IOT设备的代码，而Cracker:Telnet模块又是修改自mirai，猜测当Cracker:Telnet模块发现某台设备为CCTV摄像机时则通过Cracker:CCTV模块进行入侵。 其他模块 在Bot程序早期的版本中（2016年10月编译的版本）还发现了Cracker:MySQL模块，Cracker:SSH模块和Cracker:WMI模块，这些模块的功能都是在被入侵的计算机中执行shell。 图2-5-41 Cracker:MySQL模块 图2-5-41 Cracker:WMI模块 图2-5-41 Cracker:WMI模块 不过这几个模块在之后的版本中都被移除了，而原本功能简单的Cracker:mssql模块在之后的版本中得到了完善。 cService模块分析

cService模块用于管理Bot服务，Bot服务是Service形式的Bot程序。 当Bot程序的启动参数中包含“-create”时，cService模块创建名为“xWinWpdSrv”的服务，该服务以“-s –syn 1500”作为启动参数启动Bot程序。 图2-6-1 创建Bot服务 当Bot程序的启动参数包含“-delete”时，cService模块删除“xWinWpdSrv”服务。 图2-6-2 删除Bot服务 当Bot程序的启动参数包含“-start”时，cService模块启动“xWinWpdSrv”服务。 图2-6-3 启动Bot服务 当Bot程序的启动参数包含“-stop”时，cService模块停止“xWinWpdSrv”服务。 图2-6-4 停止Bot服务 Bot程序模块众多，并且各模块之间关系紧密，相互配合。此外，Bot程序与其他组件相辅相成，以保证攻击者对计算机的持久控制以及僵尸网络的不断壮大。以下将用一个关系图描述Bot程序与其他组件之间的关联。 图2-6-5 Bot程序与其他组件关系图 第三部分 防御总结 从僵尸网络当前的攻击重点来看，防范其通过1433端口入侵计算机是非常有必要的。此外，Bot程序还有多种攻击方式尚未使用，这些攻击方式可能在未来的某一天被开启，因此也需要防范可能发生的攻击。对此，我们总结以下几个防御策略： 1.对于未遭到入侵的服务器，注意msSQL，RDP，Telnet等服务的弱口令问题。如果这些服务设置了弱口令，需要尽快修改； 2.对于无需使用的服务不要随意开放，开放的服务是黑客入侵的前提。对于必须使用的服务，注意相关服务的弱口令问题； 3.特别注意445端口的开放情况。由于黑客曾经使用永恒之蓝漏洞入侵计算机，不排除黑客故技重施。及时打上补丁更新操作系统是非常有必要的。 4.关注服务器运行状况，注意CPU占用率和进程列表和网络流量情况可以及时发现系统存在的异常。此外，注意系统账户情况，禁用不必要的账户。 5.对于网络摄像头持有者，建议修改默认密码以防止黑客直接使用默认密码爆破。 该僵尸网络现今主要依靠端口扫描和弱口令爆破进行传播，但其在“永恒之蓝”漏洞攻击武器出现之初就利用该武器入侵了一定数量的计算机，可见其对于最新曝光的漏洞利用以及攻击方法的掌握十分迅速，因此需时刻警惕其可能发起的重大攻击。 附录 相关文件MD5 相关ip地址和域名 密码字典

用户评论

你身上有刺，别扎我

哇，矿机僵尸网络这事儿真是可怕，数百万门罗币啊，想想都觉得恐怖。

    有18位网友表示赞同！

残留の笑颜

真是防不胜防啊，矿机僵尸网络都能悄无声息地攻击服务器，得加强防范了。

    有16位网友表示赞同！

苍白的笑〃

这矿机僵尸网络真是厉害，数百万门罗币啊，想想都觉得心痛。

    有8位网友表示赞同！

遗憾最汹涌

服务器被攻击开采数百万门罗币，这黑客的手段真是高明。

    有19位网友表示赞同！

熟悉看不清

数百万门罗币啊，这矿机僵尸网络得多厉害才能做到这一点。

    有19位网友表示赞同！

暮染轻纱

矿机僵尸网络这事儿让我对网络安全有了更深的认识，得提高警惕。

    有8位网友表示赞同！

冷嘲热讽i

攻击服务器开采数百万门罗币，这黑客真是无孔不入。

    有7位网友表示赞同！

该用户已上天

数百万门罗币啊，这矿机僵尸网络得有多少机器才能做到。

    有11位网友表示赞同！

半梦半醒半疯癫

矿机僵尸网络悄然兴起，这网络安全问题真是越来越严重了。

    有12位网友表示赞同！

歆久

服务器被攻击开采数百万门罗币，这黑客的手段真是让人震惊。

    有12位网友表示赞同！

岁岁年年

这矿机僵尸网络太狡猾了，得加大力度打击这样的黑客。

    有7位网友表示赞同！

?亡梦爱人

数百万门罗币啊，这黑客为了利益真是无所不用其极。

    有16位网友表示赞同！

迁心

矿机僵尸网络悄然而至，我们必须提高网络安全意识。

    有13位网友表示赞同！

人心叵测i

攻击服务器开采数百万门罗币，这黑客的犯罪手法真是让人胆寒。

    有14位网友表示赞同！

(り。薆情海

矿机僵尸网络的兴起，让我们看到了网络安全的严峻形势。

    有12位网友表示赞同！

柠夏初开

数百万门罗币被开采，这黑客的手段真是让人防不胜防。

    有10位网友表示赞同！

荒野情趣

矿机僵尸网络悄然兴起，我们必须加强网络安全防护。

    有17位网友表示赞同！

凉笙墨染

服务器被攻击，数百万门罗币被盗，这黑客真是丧心病狂。

    有16位网友表示赞同！

早不爱了

矿机僵尸网络的威胁，让我们更加重视网络安全建设。

    有11位网友表示赞同！