1183

Осторожнее с Youtube! Ох уж этот майнинг...

Сегодня заметил подозрительное увеличение нагрузки на процессор во время просмотра роликов на ютубе. После некоторого времени поисков - удалось выяснить, что после прохода некоторых жёлтых отсечек рекламы начинает исполняться в 8-9 потоков js код, а нагрузка на процессор подлетает до 100%, пока не закрыть вкладку с ютубом.
Начало кода имеет следующий текст:


self.CoinHive = self.CoinHive || {};

self.CoinHive.CONFIG = {

LIB_URL: "https://coinhive.com/lib/",

ASMJS_NAME: "worker-asmjs.min.js",

REQUIRES_AUTH: false,

WEBSOCKET_SHARDS: [["wss://ws001.coinhive.com/proxy", "wss://ws002.coinhive.com/proxy", "wss://ws003.coinhive.com/proxy", "wss://ws004.coinhive.com/proxy", "wss://ws005.coinhive.com/proxy", "wss://ws006.coinhive.com/proxy", "wss://ws007.coinhive.com/proxy", "wss://ws029.coinhive.com/proxy"], ["wss://ws008.coinhive.com/proxy", "wss://ws009.coinhive.com/proxy", "wss://ws010.coinhive.com/proxy", "wss://ws011.coinhive.com/proxy", "wss://ws012.coinhive.com/proxy", "wss://ws013.coinhive.com/proxy", "wss://ws014.coinhive.com/proxy", "wss://ws030.coinhive.com/proxy"], ["wss://ws015.coinhive.com/proxy", "wss://ws016.coinhive.com/proxy", "wss://ws017.coinhive.com/proxy", "wss://ws018.coinhive.com/proxy", "wss://ws019.coinhive.com/proxy", "wss://ws020.coinhive.com/proxy", "wss://ws021.coinhive.com/proxy", "wss://ws031.coinhive.com/proxy"], ["wss://ws022.coinhive.com/proxy", "wss://ws023.coinhive.com/proxy", "wss://ws024.coinhive.com/proxy", "wss://ws025.coinhive.com/proxy", "wss://ws026.coinhive.com/proxy", "wss://ws027.coinhive.com/proxy", "wss://ws028.coinhive.com/proxy", "wss://ws032.coinhive.com/proxy"]],

CAPTCHA_URL: "https://coinhive.com/captcha/",

MINER_URL: "https://coinhive.com/media/miner.html",

AUTH_URL: "https://authedmine.com/authenticate.html"

};


Подозрительные названия переменных наводят на определённые мысли.. Будьте бдительны!
UPD: замечено было в браузере Google Chrome.

Дубликаты не найдены

+208

Скорее всего youtube тут вообще не при делах. Наверное какой то бацил в расширениях или еще где, который подменят код плеера youtube (или вообще всех плееров) и майнит, когда ты смотришь видео. И сделано это что бы сложнее было заметить его.

раскрыть ветку 27
+105
Скрипт майнера на ютубе замечен в рекламных блоках. На лисе при отключенном uBlock при начале показа рекламы аваст ругается. Так что ютуб (гугл) тоже виноват, что не проверяет свою рекламу.
раскрыть ветку 14
+132

Ахуеть.

раскрыть ветку 3
+24

может что-то изменилось, но раньше реклама на youtube была довольно тупа - картинка, ссылка, видео. И как туда вставить майнера - не понятно

раскрыть ветку 2
+4

Кажется я теперь понял чего мой Аваст ругнулся на какой-то сайт во время включения рекламы в ютубе. Не мог понять что за сайт и откуда он если у меня кроме ютуба ничего небыло открыто

+6

не знаю связано это или нет, но мой 4 пиновый кулер на выдув из корпуса при запуске роликов с ютюба (обычно в начале, но бывает и в середине) на мгновение выходит на максимальный режим работы. на нем стоит автоматический режим регулирования оборотов. адблок и унблок включены. браузер огнелис.

раскрыть ветку 2
+3
На лисе при отключенном uBlock
Ну кто-же отключает uBlock в интернете?
раскрыть ветку 2
+52

Был не прав.


linux + чистый браузер chrome (то же самое с браузерами на нем основанных). Предоставленный ролик на youtube много раз открывал и словил жор. Как то там подгружается http://s3.amazonaws.com/imgint/aaz.js и начинает майнить. Надо видео открыть раз 20 или больше, что бы выпала вредоносная реклама.


Ublock, adblock, gnostery и прочие сразу блокируют сайт (coinhive.com), с которым пытается соединиться aaz.js


Короче Брин со своей командой долбится в очи и занят harassment и поисками влияния русских хакеров на выборы. А в это время как-то стало доступным сделать вставку не тупой картинки, текста или видео как было всегда, но и веселых js, которые начнут исполняться у смотрящего видео.


И черт бы с этими майнерами, но с сочетанием еще рабочей meldown натворить дел можно ого каких.

Иллюстрация к комментарию
раскрыть ветку 9
+21
Короче Брин со своей командой долбится в очи

Это уж не говоря про санных правообладателей на звуки рандомного шума.

+3
Иллюстрация к комментарию
раскрыть ветку 2
+3

Ратник можно?

+2
У меня сегодня именно такую ссылку заблокировал каспер. Посмотрел историю, в это время как раз на ютубе видео запустил.
0
Иллюстрация к комментарию
0
Что за дистрибутив? Arch Linux?
раскрыть ветку 1
+7

у ютуба свой html5 плеер, а вот флеш в этом плане крайне ебанутый. Как с видео на других сайтах?

раскрыть ветку 1
+1

и это плеер может подменять какое-нибудь расширение.

+9

Сегодня такое же заметил на пикабу. Если вырубить адблок, то некоторые вкладки начинают кушать процессор, а потом антивирус начинает орать, что обнаружен троян trojan:win32/bluteal!rfn. Похоже, кто-то реально влез в рекламную сеть.

раскрыть ветку 2
+2

Да давно уже было такое, Google Adwords пропускает скрипты. Одно время на смартфоне просто при пролистывании пикабу начиналась скачка установочного файла с вирусом. Просто через блок с рекламой.

0
У меня пикабу и яп постоянно что то грузят. Сам я дилетант, не разумею, но "кружочек" загрузки сайта не прекращается даже через 10 минут. Замечено полгода назад.
+17

Скрипт сомнений не оставляет, 100% майнинг. Вопрос откуда скрипт - это уже другое дело. Если бы YouTube внедрил его в сайт, об этом знали уже все, так что думаю комментаторы выше правы, нужно подумать о защите своего компьютера от посторонних программ

раскрыть ветку 9
+25

Тоже думал что проблема в компе тс'а, но потом я отключил адблок, видимо майнер каким-то раком встроен в рекламу. На скрине загрузка ЦП с включенным видео P.S. Гугл хром

Иллюстрация к комментарию
раскрыть ветку 7
+3

нихуя у тебя оперативы

раскрыть ветку 4
0

Сейчас попробую зайти на сайт, может что-то смогу узнать


Зашел на пару видео, нагрузка держится на уровне 20-30%, ничего необычного

раскрыть ветку 1
+3

Ютуб и внедряет. Отключаешь блокировщик рекламы - начинает грузить ЦП.

Правда не всегда. Через время я открыл ту же страницу с видео, без блокировщика, и ЦП больше не нагружался.

+48

Почему у меня никаких "левых" нагрузок при просмотре ютрубы и всё работает нормально? Комп проверь, на всякий случай, может какая хуйня в браузере засела.

раскрыть ветку 25
+4

Наткнулся на статейку про ServiceWorker... похоже
https://habrahabr.ru/company/badoo/blog/318000/

раскрыть ветку 14
+4

Да, тут по всем признакам используется уязвимость, описанная в статье на хабре. В других браузерах (firefox, edge) проблема не была обнаружена. Windows Defender эту угрозу игнорирует, похоже правда придётся поставить антивирь, или переходить на другой браузер :)

раскрыть ветку 10
+1

Тс, спасибо. Я то думаю что за фигня. Лагать жутко начинает исключительно если просмотр в полноэкранном режиме. Если его вырубить то все идеально. Дык как этот майнинг отрубить? Касперский не реагирует.

раскрыть ветку 1
0

Сейчас их столько развелось, этих вирусов, маллваров и подобного)

+1
Бывает всякое. Вчера впервые встретился с вирусом, который подменяет DNS. Думаю, тут история такая же.
+2

Заметил это только сегодня, раньше тоже всё было хорошо. Но проверю конечно на всякий случай)

раскрыть ветку 8
+15
Либо вирусняк встраивает в тело страницы эту поебень или провайдер :)
раскрыть ветку 2
+10

AdwCleaner'ом почисть компьютер. Обычно помогает.

0

Тоже сегодня Аваст спланировал на майнер на Ютубе был открыт ходим в приватном режиме, значения не придал

раскрыть ветку 2
-1

Проверь расширения свои

+20
ПРУФЛИНК в студию!
Есть вероятность ты сам схавал вирус (или добровольно установил дополнение-трояна).

Так что давай кто-то независимый проверит видосик.

раскрыть ветку 24
0

Я могу весь код скрипта скинуть в качестве пруфа (он после автоформата занимает 1800 строк), если нужно, но что самое интересно - после публикации поста, мне удалось словить запуск этих скриптов ещё один раз (после чистки кэша). Больше запусков скриптов пока не удалось отловить. И это не зависит от ролика, который просматривать. Я замечал это на разных роликах, и сейчас например на этих же роликах скрипты не запускаются. Возможно если это все-таки с ютубом связано, а не с вирусами у меня, то тут ещё какие-то факторы влияют, как то время нахождения на сайте и т. д.

раскрыть ветку 23
+4

Ещё раз получилось только что в хроме отловить) ролик на котором тестирую вот этот:
https://www.youtube.com/watch?v=CxddlYdGFkg
на нём много отсечек рекламы

раскрыть ветку 16
+4
То есть признаёшь, что в РОЛИКЕ скрипта нет, и на Ютубе - тоже? Значит скрипт у тебя.
раскрыть ветку 5
+6

Решил проверить - и у меня аваст (лицензионный, купленный) выловил JSminer на ютубе. Причем до этого он ловил такое только на всяких корявых торрентах и пр, на ютубе не было.

Так что антивирь должен помочь. Браузер - хром, плагинов нет (окроме аваста, но вирус выловил именно антивирь)

раскрыть ветку 1
+1

у меня adblock plus тупо режет доступ к этому домену.

+4

О, думал я параноик а оказывается всё же прав)))

+2

Стоит это Adblock для Youtube расширение

https://chrome.google.com/webstore/detail/adblock-for-youtub...


+ это No Coin - Block miners on the web! https://chrome.google.com/webstore/detail/no-coin-block-mine...


Ни разу не попадал на эту гадость

+2

Кто - нибудь может проверить этот видос.
https://www.youtube.com/watch?v=C6-TWRn0k4I&t=26s
У моего товарища 100% загрузка у меня ничего.


На видосе ТСа, всё гладко проц еле грузится.

раскрыть ветку 11
+5

Проверил этот видос и действительно ,на желтой метке начинается майн и даже аваст ругается, от ютуба я такого не ожидал. P.s c адблоком все норм т.к нет и этих меток.

Иллюстрация к комментарию
раскрыть ветку 7
+4

пол часа назад смотрел ютуб, как вдруг... 0_0 

з.ы. да это фото с экрана XDXDXDXD

Иллюстрация к комментарию
+1

мне кажется нужно вставить пиздюлей поставщику рекламы

раскрыть ветку 1
0

Что за жёлтая метка?

Иллюстрация к комментарию
раскрыть ветку 3
+2

Да, у меня в хроме тоже 100%, а в Firefox - минимальная нагрузка.

раскрыть ветку 2
+1

Специально выключили блок рекламы. Просмотрели ВСЮ, не поднималось особо..
На Хроме, если что.

раскрыть ветку 1
+5

AdGuard и проблем нет

раскрыть ветку 23
+4

Провёл эксперимент с этим расширением для хрома - вроде помогает. Пока майнер больше не запускался при просмотре роликов (как и заблочилась вся жёлтая реклама). Это тоже в пользу теории, что майнер в какой-то рекламе зашит и проходит через проверки гугла/ютуба и т. д.

-1

Ошибаешься. Если это работа вредоноса, что скорее всего является истиной, то очень не факт, что AdGuard сколько-нибудь поможет. Тут для начала надо AdwCleaner попробовать использовать.

раскрыть ветку 21
+4

Не ошибается. Майнер вшит в рекламу, которой при использовании Эдгуарда нет)

ещё комментарии
+1
Хзхз, адблок меня пока не подводил, ни разу с подобным не сталкивался.
раскрыть ветку 1
+1

А в гугл саппорт писали?

раскрыть ветку 1
0

А нету у него саппорта нормального. Вчера хотел ещё написать. Но в итоге просто отправил через браузер обратную связь. Но это не саппорт

+1

Чем это грозит?

раскрыть ветку 4
+2

Работа оборудования на износ не идет на пользу обычно)

+Обогощаешь злоумышленников

ещё комментарии
+1

Я работаю с CAD системами, комп грузится прилично, и сразу чувствую когда ресурсов не хватает. Работал хром и кад, пишет не хватает памяти, думаю че за хрень, вроде не должно быть дефицита, диспетчер задач смотрю, как бы должно 50% памяти быть свободно суммарно, а фактически под 100%, соотв. кад мне говорит тоже что критический дефицит ресурсов. сам хром показывал, что забирает примерно 250 мб...отрубил больше интуитивно хром, раз сразу 2г памяти освободился...повторюсь, диспетчер задач показывал, что хром официально занимал около 250 мб...антивирь и фаерволл молчал, снес хром, поставил яндекс, вроде полет нормальный

+1

У тебя просто локально стоит какая-то хрень, которая инжектит JS для майнинга , когда ты открываешь в браузере сайты. Проглистогонь свой комп и не гони на ютуб.

раскрыть ветку 1
+6
Не похоже. Мне кажется, что это вшито в какую-то рекламу, которая к ютубу имеет отношение, но крайне посредственное
+1
Тут скорее проблема в том, что ты заразу подхватил, нежели в ТыТрубе
+2

А url  майнинг-пула не наводит?

0
Тоже замечал, играешь в игруху смотришь видюху и fps падает. Закрываешь видео fps восстанавливается. Совпадение, не думаю.
0

Каким великим майнером нужно быть, чтобы купить рекламу на ютубе ради майнинга  несколько секунд?

0
За майнеры ютуб будет доплачивать блогерам?
0

когда видео открываю, выскакивает

Иллюстрация к комментарию
0

И ведь даже не запаривались на обфускации. Ну народ))

0

Ах, вот почему мой старый комп вылетает при просмотре ютуба!!!

0
А вроде говорили что майнить на обычных пк бесполезно! Или же эта сеть связывает вычисления в последовательный поток для всех пользователей кто попался на скрипт и таким образом получается неебическая ферма?
0

А вообще у нормальных людей давно стоит файервол...

0

Одни мошеники кругом...

0

Ну и по закону жанра сайт или процесс надо назвать так что бы он сразу навел на подозрения. Почему у людей не хватает ума понять что если человек додумался как то облапошить систему (особенно при помощи программирования в любом виде) и у него получается (тем более) то он умнее вас априори? А, вообшем то я сам на свой вопрос ответил,рассуждая.

0
На яб тоже замечал, что при открытом ютубе, при чем иногда видео на паузе, ноут превращается в самолет. Но что-то на майнинг со стороны ютуба я не думал
раскрыть ветку 2
-1

Я вам скажу по секрету - ютуб сейчас самая крупная социальная сеть, крупнее чем вк и одноклассники вместе взятые, а мировой ютуб обходит даже фейсбук на котором сейчас почти миллиард аккаунтов. Так вот, если у нас есть задача намайнить через ютуб, и мы при этом маскируемся под злоумышленников, то, естественно, мы вошьем это в рекламу, которую, как бы, случайно, допустили; Потому что если речь идет о майнинге в таких масштабах, то это пиринговая-грид-сеть; ютуб - это почти 60% всей активности на всех айфонах после исклчения "простоя". Грид сеть это когда компы соединяются в единую вычислительную ссистему, по типу бот-сети, но если в бот сетях каждый компьютер исполняет одну и ту же активность, то технологии Грид позволяют создать единый распределенный информационный процесс, то есть почти что объединить все вычислительные мощности компьютеров в одну. Такая система в любом случае должна управляться кем то, поскольку кто то с этого получает неплохой барыш. Но при существующих мощностях я бы делал ставку на нейросети; Нейросеть в данном случае тем более актуальна, поскольку базирование на компьютере клиента её малой части (в т.ч ради майна) не мешает ей так же не поковыряться в оперативной памяти. Ведь если знать где и что искать, то много интересного можно найти даже в данных вашего браузера; какие то жалкие 50МБ выгруженные с вашего компьютера позволяют зайти на любой сайт где у вас была пройдена авторизация. При этом имея доступ к вашему ПК его можно использовать как прокси, маскируя все запросы под ваш адрес. Если в данном случае речь идет о том что подобный скрипт вшили в рекламу злоумышленники обойдя при этом существующий фильтр YOUTUBE то уверяю вас уже через пару лет эти скрипты будут вполне легально стоять уже на каждом втором сайте. Смотришь сайт - фармь автору койны. Новый смысл и контента, и его монетизации как интеллектуальной собственности.

раскрыть ветку 1
0
Чертовы майнеры!
0

Всем привет!А как можно самому не профессионалу разобраться - есть ли майнинг на компе или нет?

0

Пойду в роутер пропишу запрет на этот адресок)))

0
У меня была такая проблема, нужно проверить, происходит ли такое на других сайтах. Снес все расширения, проблема исчезла :)
0

Я тоже стал замечать перегрузку процессора при просмотре роликов на ютубе. Возможно, что качество 720р 60 фпс не все компы могут осилить

0
Автор скажи, а в хроме установлено расширение WOT (web of trust)
раскрыть ветку 3
0

А что с wot не так?

раскрыть ветку 1
0

Не знаю, просто я заметил подобную активность после установки данного расширения (нужно было сайт посмотреть), сейчас оно удалено и вроде как все вернулось

0

Нет, такого расширения нет

0

пойду напишу в росютубнадзор

раскрыть ветку 1
+2
И в Гослото.
0

Есть еще народ, который uBlock Origin не использует? По-моему, для всех, кто не вчера родился, очевидно: реклама -- ваш враг! Исключений нет. Нытьё типа: "Адблок убивает наш бизнис," -- чушь, раздражаешь пользователя -- разорись нахуй.

0

Минут 20 дрочил ваши видосы на ютубе. 0 реакции. (хром с юблоком)

раскрыть ветку 1
+5

Ты бы ещё без интернета дрочил

0

Да ты сам какую-то херню словил. Ютуб чист.

0

А как этого безобразия избежать?!

раскрыть ветку 5
+3

Вроде опера в новой версии браузера обещала защиту от такого

раскрыть ветку 1
+2

Ну рекламу она блочит исправно.

+1

в хроме "no coin" расширение

раскрыть ветку 2
0

Попробую...о! оно у меня уже есть!

0

Я поставил на оперу его после того как заметил что ютуб начал майнить

-3

как начинает исполняться в 8-9 потоков js код, когда js - однопоточный?

раскрыть ветку 4
+1

js вполне себе многопоточный сейчас

0

asm.js и друзья. можешь убедится в этом сам coinhive.com

0

есть подозрения, что их запускает sw.js... пробую дальше разбираться

Иллюстрация к комментарию
0

От жёлтой рекламы давно уже есть куча способов защиты

ещё комментарии
-8

видимо я не продвинутый айтишник 1 раз про такое слышу,автор спасибо буду вкурсе))

раскрыть ветку 1
+4

Видимо даже отстающий. Потому что тема про майнинг в браузере сайтами уже буквально прошлый год.

ещё комментарии
-3
Словил скриптовый вирус и радуешься. Поставь хотя бы бесплатный антивирь, он тебе все покажет.
-2

Скорее всего приложение в хроме установил себе ТС

-2
От авторов ролика?