文章大纲：

• 1、清空聊天记录就会退出群 同时在群里推送一条炒股牛人的广告和二维码。是木马病毒，却查不出来？
• 2、手机中了木马病毒怎么办？
• 3、手机中了木马病毒会怎样？有什么表现形式？会有什么危害？
• 4、木马(Trojan/Win32.Generic.1200E45E)
• 5、Trojan/Win32.AntiAV.ctn是什么木马
• 6、挖“比特币”等非法“挖矿”行为可能涉嫌的罪名

清空聊天记录就会退出群 同时在群里推送一条炒股牛人的广告和二维码。是木马病毒，却查不出来？

应该这个群发红包了,你没有点开。 或者有人在微信群里发起了群收款。 没事的,放心删除就行。

微信 (WeChat)[1] 是腾讯公司于2011年1月21日推出的一个为智能终端提供即时通讯服务的免费应用程序[1] ，由张小龙所带领的腾讯广州研发中心产品团队打造 [2] 。微信支持跨通信运营商、跨操作系统平台通过 *** 快速发送免费（需消耗少量 *** 流量）语音短信、视频、图片和文字，同时，也可以使用通过共享流媒体内容的资料和基于位置的社交插件“摇一摇”、“漂流瓶”、“朋友圈”、”公众平台“、”语音记事本“等服务插件。

截止到2016年第二季度，微信已经覆盖中国 94% 以上的智能手机，月活跃用户达到 8.06亿，[3] 用户覆盖 200 多个国家、超过 20 种语言。[4] 此外，各品牌的微信公众账号总数已经超过 800 万个，移动应用对接数量超过 85000 个，广告收入增至36.79亿人民币[3] ，微信支付用户则达到了 4 亿左右。[4]

微信提供公众平台、朋友圈、消息推送等功能，用户可以通过“摇一摇”、“搜索号码”、“附近的人”、扫二维码方式添加好友和关注公众平台，同时微信将内容分享给好友以及将用户看到的精彩内容分享到微信朋友圈。

2016年3月1日起，微信支付对转账功能停止收取手续费。同日起，对提现功能开始收取手续费。[5] 3月10日，微信官方首次公布“企业微信”的相关细节，并于4月18日通过应用宝正式发布安卓版。8月，微信与支付宝同获香港首批支付牌照[6] 。

2017年12月25日，“微信身份证网上应用凭证”在广州市南沙区签发，为线上、线下政务服务以及旅馆业登记、物流寄递等实名制应用场景，提供国家法定证件级身份认证服务。

手机中了木马病毒怎么办？

01

手机进入不良网站后，不要随便下载软件，退出网页。智能手机一般不会中毒，只会存在一些恶意插件。如果中病毒，就用杀毒软件进行杀毒，然后进行修复，再用用工具进行查杀。

病毒一般是通过下载软件，浏览网页，接收文件等传播的。手机中毒后，会导致手机各种异常现象，所以必须在之一时间内杀毒，否则会造成手机文件的丢失。

在确保自己以及系统后台没有下载安装各种来路不明的APP和文件的情况下，手机管家查杀病毒也是安全，那么大概率你的手机还是安全的。这类不良网站多数是转载盗版资源的网站，其网站多充斥着网游、色情广告。下载其资源或许就会有木马病毒之流。

智能手机作为一种新时代的工具，确实给人们的生活层面，带来了一些方便，不过手机连接 *** 之后，也会带来一些相应的 *** 安全隐患，如果只是使用正规的手机软件，可能还影响不大，但如果是经常用手机浏览器，去查看一些不健康的网站，那就需要承担一些风险了。

手机中了木马病毒会怎样？有什么表现形式？会有什么危害？

手机中了木马病毒的表现形式是：1、手机系统运行变慢。2、手机变得越来越卡。手机中了木马病毒的危害是：1、出现恶意弹窗。2、话费被恶意扣费。3、手机中的账号被盗。防止手机中木马病毒的 *** ：1、不轻易打开陌生邮件。2、不加陌生好友。3、不乱进不安全网站。4、不乱下载。5、不要乱扫描。6、连接电脑等，主要开启防火墙。7、注意手机内部保护，安装安全软件。

木马(Trojan/Win32.Generic.1200E45E)

多半是中了盗号木马了@！@ Trojan.Generic病毒手工删除 ***

按照以下步骤即可删除Trojan.Generic病毒。请先先备份您的注册表和系统，并设置一个还原点，防止发生错误。

Trojan.Generic病毒清除之一步：停止运行进程（利用任务管理器停止以下运行进程）

bcmsn.exe

bbsdf.exe

bd *** ss.exe

belly.exe

beird.exe

bbabc835.exe

batura03.exe avupdate.exe

aug.exe

bar.exe

avgcc32.exe

au1g.exe

等等

Trojan.Generic病毒清除第二步：撤消 DLL 的注册

使用 Regsvr32 撤销以下 DLLs 的注册，然后重启：

aig.dll

abc2.dll

a0002875.dll

7_1,0,0,3_mslagent.dll

8_1,0,0,1_mslagent.dll

7_1,0,0,2_mslagent.dll

7_1,0,0,1_mslagent.dll 53n4nojted.dll

65.dll

4b_1,0,1,0_mslagent.dll

4a_1,0,2,6_mslagent.dll

3_1,0,1,4_mslagent.dll

3_1,0,1,3_mslagent.dll

3_1,0,1,1_mslagent.dll

3_1,0,1,0_mslagent.dll

2_mslagent.dll

~dpb1f1.dll

bcnhhaa.dll

bbnnha32.dllbhcimhjn.dll

_kwuiex.dll

_kwui.dll

Trojan.Generic病毒清除第三步：删除文件

使用资源管理器删除以下文件（如果存在）：

#.exe

$temp$.exe

+g-?+_-d.exe

___synmgr.exe

_kwui.dll

123_2.exe

附：目前的杀毒软件更新病毒库后基本都可自行查杀Trojan.Generic病毒。

Trojan/Win32.AntiAV.ctn是什么木马

Trojan.Win32.AntiAV.n 木马病毒，通过 *** 传播

依赖系统：WINNT/2000/XP/2003。

这是一个木马病毒。病毒运行后会在系统目录下建立一个以当前系统时间为名称的OCX文件，然后修改注册表实现随系统自启动。病毒会将自身注入到系统正常进程中，修改系统时间，并且试图关闭多种安全防护软件。病毒还会修改系统的共享目录，将用户的信息泄露出去。

详细说明:

1、病毒运行后，会在system32目录下释放一个OCX文件，文件名随机。

病毒生成文件名的 *** ：用GetLocalTime得到当前系统时间，以月份跟得到的秒数为文件名，扩展名为.OCX。

我们在分析的时候得到的是12月7秒，文件名为：127.OCX。

2、利用rundll32.exe来加载自己释放的文件。并把rundll32.exe %system32%127.ocx加入到启动项。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Load = rundll32.exe %sysetm32%127.ocx

3、等1.5秒后把自己删除。

病毒自删除 *** 比较特别，先用DeleteFileA去检查病毒本身是否已被删除，然后用MoetFile把自己移动到回收站，在用MoveFile把回收站中的病毒文件加入到重启后删除列表中。

4、OCX文件加载成功后，病毒利用全局钩子，在每一个进程中插入一个127.ocx。

A:HOOK个每个进程中的API来隐藏自己

HOOK的API有

RegOpenKeyExA

CreateFileA

CreateFileW

RegEnumValueA

RegEnumValueW

从HOOK的API可以看出，用户是无法在正常方式下，查看到病毒的文件，和在注册表中加入的内容。

B:对AVP杀软的情况，病毒使用的手法：

当检查到系统中是否AVP的进程时，把当前系统的时间修改为:现在的时间减去10年

如：现在是2007 被病毒改后，就会是1997年，这样会使AVP失效。

C:对于一些反流氓软件的情况，病毒使用的手法：

当有程序要运行时，病毒会检查当前运行的文件名含有以下列表中的文件时，会把当前运行文件的进程结束，并且把文件移动到Windwos的TEMP目录下改名__.%s.tmp。

病毒会查找下面文件，当查找到文件后，会把文件移动到TEMP目录下改名为__%s.tmp.

病毒查找的文件有：

mmskskin.dll

KKClean.dll

VirUnk.def

ntiActi.dll

Rsaupd.exe

Iereset.dll

KASearch.DLL

KAVBootC.sys

Ras. exe

iehelp.exe

trojandetector.exe

KAConfig.DLL

KAVPassp.DLL

hsfw.dll

ollydbg.ini

Libclsid.dat

KNetWch.SYS

CleanHis.dll

WoptiClean.sys

kakalib.def

libdll.dat

kkinst.ini

wopticlean

360safe

D:对于其它杀软件的处理

遍历文件时，同时获得文件的版本信息，当发现下列住处时，会把文件删除

Kingsoft Antivirus

Kingsoft Antispyware

TrojanDetector

Micropoint

Kingsoft

Duba

E:修改文件的访问根权。

病毒利用cacls.exe Filename /T /E /C /P everyone:N的方式，把磁盘上文件设置为共享，让所有人可以使用文件。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收 *** 、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、 *** 等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到20.20.30版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀

挖“比特币”等非法“挖矿”行为可能涉嫌的罪名

加密数字货币非法“挖矿”行为可能涉嫌的刑事犯罪

作者：李俊南 ，上海华勤基信（杭州）律师事务所负责人

近年来，比特币、莱特币、狗狗币等加密数字货币的火热行情吸引无数一夜暴富心态的人群积极参与，币安、火币、OKEx之类的网站迅速扩张拥有大量交易参与方，除了通过买卖途径，很多人也选择通过“挖矿”获得加密数字货币。在“挖矿”的过程中产生一系列行为，而其中部分行为可能涉嫌刑事犯罪。笔者认为，如果要辨析可能涉嫌刑事犯罪的行为，必须先就加密数字货币和“挖矿”行为的概念进行了解。

之一部分 关于加密数字货币和“挖矿”的概念和性质

一、加密数字货币的概念

口语化普遍使用“虚拟货币”或者“数字货币”来指称比特币、莱特币、USDT、狗狗币等，其实“虚拟货币”或者“数字货币”的范围比较广泛，泛指不受管制的、数字化的货币，包括我们日常所知道的腾讯Q币、盛大元宝等 游戏 币或置换网站内部增值服务等的 *** 专用币，也包括加密数字货币，笔者本文探讨的各种行为或情节特指加密数字货币。加密数字货币是一种使用密码学原理来确保交易安全及控制交易单位创造的交易媒介或者商品，来源于开放式的算法导致没有固定的发行方或管理方，通过 *** 计算 *** 进行解密获得原始数字货币，因为算法解总量可控从而做到让数字货币总量固定，交易过程获得 *** 中各个节点的认可从而导致交易行为的固定性或安全性。

加密数字货币与实物货币或者形式货币的数字化不同，《关于防范比特币风险的通知》[1]和《关于防范虚拟货币交易炒作风险的公告》[2]明确其作为虚拟商品的性质，“不由货币当局发行，不具有法偿性与强制性等货币属性，不是真正的货币，不应且不能作为货币在市场上流通使用”。货币最初为不容易大量获取的物品，而后变为金属（尤其是金银），这些本身即有价值的物品被挑选出来赋予交换权，按照某一时间点特定的价值比例可以循环、普适地交换其他商品或服务。 *** （包括其他具有公信力的主体）成立后发行法币，基于 *** 公信力和金银储量等基础进行许诺，赋予法币可以代替实物货币进行与商品或服务之间的交换。法币（比如人民币、美元、英镑等）是在 *** 信用、货币契约理论和金银储备等基础上而被赋予的代表一定可供交换价值的 社会 接受度。而 社会 之所以接受，是因为发行法币时， *** 机构将会就该等份额的法币做出相应信用许诺，法币具有转化为真实实物价值的可能性。通常每个 *** 国家或区域只是用一种法币，由中央银行发行和控制，严格遵循“MPQV”的公式进行计算，避免发生严重背离市场的通货膨胀或紧缩。

加密数字货币背后并没有所谓的 *** 信用或价值支撑，是通过区块链技术保密和流通、计算机算法而获得的虚拟物。区块链是用分布式数据库识别、传播和记载信息的智能化对等 *** 。2009年比特币之一个区块被开发出来，有人称之为“创世区块”。用于加密数字货币的计算机算法，目的是生成一种虚拟标记，这个标记被设定的程序认为完成了程序要求的解或运算结果程度，基于运算结果给这个标记一定的数字货币值。这个值本身没有内在价值，是数学难题的解答，充其量可能对应的就是解法研发和所耗费的“矿机”购买价格、能耗价格等，而前者无法代表有价物，后者代表的只有消耗而没有创造。

二、“矿机”和“挖矿”

获得加密数字货币的初始 *** 就是运算，需要借助计算机（“矿机”）来完成复杂运算过程。“矿机”通过中央处理器芯片或者显卡参与数学计算，开展“挖矿”过程。如果能够计算出结果，那么被赋予一个或者几分之一个数字货币值。以比特币为例，“挖矿”就是找到一个随机数（Nonce）参与哈希运算Hash（BlockHeader），使得最后得到的哈希值符合难度要求。

“挖矿”过程涉及的参与方和设备材料包括矿工、矿机、矿机销售方、矿池管理方、区块确认和广播等。矿工可以简单地理解为参与“挖矿”的每个人或机构，矿池是为了避免单个矿工“挖矿”收益的不稳定性而聚合矿工后产生的 *** ，根据不同矿工的运算贡献对收益结果进行分配，区块确认和广播是通过区块链节点互相认可某一个矿机代表的矿工工作量证明，进行记账和通知其他节点。矿工的收益存储于有密钥的电子钱包中，可以查阅、使用和交易。“挖矿”的形式主要分为集中托管式和分布式，前者是矿工将矿机托管给某个矿池管理方，矿工支付电费和管理费，矿池管理方统一进行操作维护；后者是矿工自行管理矿机。

笔者认为单纯的“挖矿”行为在此前并未存在任何有关于涉嫌违法的法律规定，但2021年5月21日国务院金融稳定发展委员会召开第五十一次会议，根据会议精神，“坚决打击比特币挖矿和交易行为”，此后就虚拟货币非法“挖矿”行为应当会出台进一步的规定。

第二部分 非法“挖矿”行为涉及刑事犯罪的现状

一、笔者以“刑事案件”、“虚拟货币”、“挖矿”等关键词在中国裁判文书网中进行搜索，存在132篇文书。经过对案件文书的研判，笔者发现：

1.根据审判程序来看。 一审判决书占比81.81%；二审裁定书等占比16.67%；审判监督驳回申诉通知书等占比1.52%。

2.根据定罪罪名来看。 （1）一审定罪主要分布为：盗窃罪主要为盗窃公共电力资源，计算机系统相关犯罪主要为在他人计算机内植入木马外挂程序、利用工作职务便利使用可控制的计算机系统挖矿等，非法吸收公众存款罪、诈骗罪、集资诈骗罪和组织、领导传销活动罪除了与“挖矿”有关，还与加密数字货币的发行紧密相关，少量盗窃罪和其他类案件主要是与矿机买卖相关，或“挖矿”收益取得后被非法侵犯产生的其他犯罪行为。大量案件为单一罪名，少量案件数罪并罚。（2）二审定罪主要为组织、领导传销组织犯罪，占50%；控制、入侵、破坏计算机系统等计算机系统相关犯罪，占18.18%；其余各项罪名（抢劫罪、集资诈骗罪、非法吸收公众存款罪、盗窃罪等）占31.82%。基本所有案件均维持原判。

二、笔者另通过 *** 搜索发现：

2018年5月腾讯网报道[3]称，“西安市未央区检察院提前介入一起特大 *** 黑客盗窃虚拟货币案，并批捕该案三名嫌疑人。三名嫌疑人为专业化的 *** 技术人员，组织‘黑客联盟’非法侵入他人计算机系统并将计算机中的虚拟货币转移，涉案金额高达6亿元”。

2020年11月哈尔滨新闻网报道[4]称，黑龙江警方抓获28名犯罪嫌疑人，成功破获一起涉嫌以“哥伦布CAT虚拟货币”“挖矿”为噱头的特大 *** 传销案件，总价值近人民币3亿元。

2021年5月8日法制现场报道[5]称，武汉市洪山警方“宣布打掉一专为 *** 诈骗团伙开发APP的 科技 公司”，“晟昌 科技 ”接受委托定制开发一款名为联合众鑫的虚拟币平台，以USDT充值后，“宣称兑换联合众鑫独有币种ZBCT后，可在平台内购买矿机挖矿产生收益”，但矿机运营图片全部为 *** 图片，同时可以使用后台修改权限，“随意修改ZBCT价格及具体收益比率”。“晟昌 科技 ”公司“3年间开发了150余个涉及区块链、虚拟货币、电子钱包、 *** 商城等APP、小程序，几乎全部是 *** 金融诈骗、传销团伙所定制”[6]。

公布案例和 *** 报道表明，近年来与加密数字货币“挖矿”行为相关的违法犯罪活动非常猖獗，采取 *** 等方式，存在金额高、行为性质复杂、多角色参与、受害者群体遍布广等特征。

第三部分 就非法“挖矿”行为涉及刑事犯罪的一些思考

一、我国关于非法“挖矿”行为的态度

从2013年12月中国人民银行等五部委发布的《关于防范比特币风险的通知》至2021年5月21日国务院金融稳定发展委员会第五十一次会议要求，都在宏观层面确认了加密数字货币在发行、交易过程中可能存在风险。因为加密数字货币去中心化不可管控的特性，被大量的犯罪活动所“青睐”。

2021年5月25日，内蒙古发展和改革委员会发布了《关于坚决打击惩戒虚拟货币“挖矿”行为八项措施（征求意见稿）》，发布之前已多次对虚拟货币“挖矿”和交易行为进行围追堵截。国家能源局四川监管办公室发布《关于召开虚拟货币“挖矿”有关情况调研座谈会的通知》。

二、从国际上而言

新加坡、韩国、日本等地均已出台了与虚拟货币相关的行业规范政策，比如在投资人门槛、交易所牌照、实名认证机制等方面均有所要求。印度则准备直接禁止民众交易及持有加密数字货币。各个国家和地区的大趋势也逐渐朝着管控方向归拢。

三、非法“挖矿”行为的非法性体现分析

单纯的个人购买或者租用矿机进行加密数字货币“挖矿”，并未有法律规定禁止，这是基于个人需要而获得虚拟商品的行为，需要被禁止的应当是带有非法属性的“挖矿”行为。

前文提及的案例表明，主要犯罪行为体现为：

1.技术型非法攫取

部分不法分子利用投资者购买矿机，或管理计算机，或其他便利条件，通过对计算机系统内植入木马病毒为自己“挖矿”，涉嫌 入侵、控制或破坏计算机系统犯罪 ,或盗取他人已经获得的加密数字货币 涉嫌盗窃罪 。

2.盗取电力资源

部分不法分子通过私设电缆、增设微电脑控制器等手段盗窃电能用于“挖矿”，已经成为了部分地区的多发性案件。盗电行为不仅仅直接通过秘密手段非法使用和侵犯了公共资源和他人合法权益，同时可能会因线路漏电引起火灾、影响节能减排政策下的区域供电安排和平衡、影响区域性阶梯用电的电价，应予以打击。

3.引发 非法吸收公众存款罪，诈骗罪 或 组织、领导传销活动罪 等涉众

（1）A宣称可以销售（含销售后托管）或租赁矿机进行“挖矿”， A向 社会 公众宣称，矿机具有强大的算力（衡量矿机销售价格或租赁费用多以算力或配置为主要标准之一），称可以每月获得一定的加密数字货币收益回报。如果回报是维持在一定的固定标准时，则A就有可能 涉嫌非法吸收公众存款罪 。

（2）A宣称其矿机存在一定标准的算力，但实际未达到该等运算效率，甚至矿机并不实际存在，A收受投资人支付的购买款和租赁费，就 涉嫌诈骗罪、合同诈骗罪 或 集资诈骗罪 。

（3）A通过三级以上 *** 渠道推广“挖矿”业务，要求各级 *** 必须先购买或承租一定数量的矿机，可以介绍他人参与购买或承租矿机“挖矿”的行为，可以获得浮动收益。也就是说， *** 通过购买或承租一定数量的矿机获得入会资格，再通过拉人头等方式拿到另外的利润分配，形成三级或以上组织架构，A将 涉嫌组织、领导传销活动罪 。

四、再进一步思考

1.A没有矿机或矿机根本不符合其宣称的性能，向投资人销售的同时约定托管，或进行租赁时以虚假信息表现存在矿机、以各种借口阻止投资人现场查看或查看虚假场所，但是A与投资人约定退出机制并按月交付投资收益，在市场上购买加密数字货币宣称“挖矿所得”给予投资人、赚取利差的行为，是否涉嫌犯罪？笔者认为A的行为属于诈骗行为，究其本质都是采用了虚构事实或者隐瞒真相的行为，使投资人误以为A有符合宣传的矿机、可以带来符合预期的收益，才支付的购买价款或租赁费用。

2.A自己发行了一种加密数字货币，自行定价，宣称租赁A的矿机可以“挖矿”获得该加密数字货币，实际上并没有矿机供投资人使用，仅仅是根据投资人的投入金额，向投资人固定地发放加密数字货币。A通过程序设定“挖矿”所得数量，甚至将该加密数字货币与主流加密数字货币的兑换价格无限调整，是否涉嫌犯罪？笔者认为，A的行为仍然是诈骗行为，该加密数字货币可能仅仅在A控制 *** 节点中做闭环运作，通过一系列的包装，利用投资人的回报期待，以无价值的数字化产物置换法币（也可能现要求投资人以法币购买主流加密数字货币，再以主流加密数字货币进行投资，增加手段的隐蔽性），实际上还是非法占有受害人财产。

3.A发行了加密数字货币，投资人租赁矿机参与“挖矿”的目的不在于看好该加密数字货币的升值空间，而在于该加密数字货币与主流加密数字货币的恒定兑换比例。投资人以其获得的黑色或灰色收入购买该加密数字货币，在闭环系统里兑换为主流加密数字货币，通过买卖获得法币资产。涉及犯罪所得的非法收入通过“挖矿”洗白。A的行为根据其故意程度、参与上游犯罪程度，可能涉嫌上游犯罪的共犯、帮助 *** 信息犯罪活动罪、掩饰隐瞒犯罪所得罪、洗钱罪等。

综上所述，大量人群为了高回报期待参与“挖矿”行为，在不法分子的引诱、欺骗下，或在自身利益驱动下可能发生违法犯罪的行为，涉案的罪名种类繁多，行为手段也日趋复杂化、隐蔽化、涉众化，需要加强监管，避免加密数字货币的热潮给犯罪活动提供温床。