5000台希捷NAS设备都已感染恶意软件

一名为Mal/Miner-C (aka PhotoMiner)的恶意软件变种正在感染联网的Seagate Central NAS设备，然后利用被感染的硬盘感染连接的电脑去挖Monero 数字货币。

2016年6月Miner-C首次出现，当时该恶意软件主要针对的是FTP服务器，然后进行自我传播，而今天的Miner-C变种主要针对的是希捷NAS硬件设备。Sophos的安全研究员称，Miner-C变种继承了Miner-C的功能，同时还能利用希捷NAS设备的设计缺陷将其植入到公共数据文件夹中。

NAS设备是联网的硬件设备，允许用户从本地网络访问文件，如果管理员允许远程访问，用户也可以从互联网上访问。据Sophos介绍，希捷设备有一个公共文件夹，可允许所有的用户访问，甚至匿名未登陆的用户也可以访问，并且还无法被删除。

利用windows的特性伪装恶意软件

Miner-C变种会将自己拷贝到所有希捷NAS设备的公共文件夹中，以至于所有的用户都能找到它。其中一个文件叫做Photo.scr，它会伪装成标准的Windows文件夹图标。

由于Windows有一个非常不好的习惯，它会隐藏文件扩展名，而Miner-C复制的恶意文件也同样隐藏了文件扩展名，所以当用户访问NAS设备时，很容易就打开了恶意文件。随后就是在受害者设备上安装恶意软件了。Miner-C每个模块会执行不同的功能。

当该恶意软件运行时，它会生成一个初始化文件，能躲避所有的安全监测方法。僵尸网络操作者还可以更改攻击payload，比如在受害者设备上释放勒索软件。

据Sophos搜集到的数据显示，Miner-C已经感染了70%的联网希捷NAS设备。全球大概有7000台联网希捷NAS设备，也就是说有将近5000台设备已经感染了Miner-C恶意软件。并且据估值，它已经利用被感染的设备挖掘了价值8.6万美元的Monero数字货币。

不幸的是，希捷用户还没有办法保护他们的设备免受感染。如果用户关闭了远程访问NAS的功能，虽说可以阻止设备感染Miner-C，但也意味着他们失去了购买NAS设备的初衷。