HardwareSicherheitWeb & Netzkultur

Werden NVIDIA-Kunden für Coinhive missbraucht?

Mit dem Crypto Miner Coinhive haben zuletzt Kriminelle vielen Nutzern per Browser CPU-Leistung geklaut – und jetzt auch per NVIDIA GeForce Experience? Ein Blick in den Ressourcenmonitor von Windows zeigte auf meinem Rechner genau diese Verbindung. Und es würde durchaus Sinn ergeben, nicht CPU- sondern GPU-Leistung abzuziehen.

Nicht NVIDIA, sondern Tutonaut war’s

Ja, so sieht’s aus. Aber mal von vorne: Vor kurzem gab es hier einen Artikel, wie man bestehende Internet-Verbindungen auf einem Android-Gerät auflisten und nachverfolgen kann. Und da wollte ich kurz nachlegen, um zu zeigen, wie man dasselbe unter Windows macht. Und zwar mit Windows-eigenen Tools. In diesem Fall ist das der Ressourcenmonitor, den Ihr am besten über den Ausführen-Dialog (Win+R) mit dem Befehl perfmon /res startet, um direkt in der richtigen Ansicht zu landen.

Hier werden nun Programme aufgelistet, die Netzwerkverbindungen aufbauen sowie alle bestehenden Verbindungen. Man sieht also Verbindungen für jeden geöffneten Browser-Tab, Google Updater, Steam und so weiter. Unter anderem gab es hier auch den zu GeForce Experience gehörende Eintrag NVIDIA share.exe – und als Endpunkt der Kommunikation: coinhive.com. Und das wäre freundlich gesagt unerfreulich. Hinzu kommt, dass auch der Eintrag zum NVIDIA-Web-Helper auf coinhive verweist.

coinhive
Wer das erblickt, dürfte aufschrecken!

Die Lösung als Problem

Im Netz gab es bislang keinen Aufschrei, NVIDIA-Tools wären coinhive-infiziert – den hätte man gehört. Also gab es zwei Alternativen: Entweder ich habe etwas wirklich Großes entdeckt, oder etwas übersehen. Letzteres schien deutlich wahrscheinlicher und auch eine mögliche Lösung pirschte sich an: Kürzlich haben wir eine Anleitung veröffentlicht, wie Ihr Coinhive und ähnliche Dinge ganz einfach blocken könnt. Und natürlich war dieser Block hier noch aktiv. Die Kurzform: Per hosts-Datei wurde Verkehr Richtung coinhive.com auf 127.0.0.1, also den lokalen Rechner umgeleitet.

Und daraus hat sich der Ressourcenmonitor wohl einen Spaß gemacht: Die NVIDIA-Programme nutzen einen Loopback, eine Schleife, bei der Sender und Empfänger ein und derselbe Rechner sind. So können, grob und stark pauschalisiert ausgedrückt, Client-Server-Anwendungen lokal laufen. Die verdächtigten Programme kommunizieren also mit 127.0.0.1 (localhost), nicht mit coinhive.com. Durch die manuelle Umleitung in der hosts-Datei wurden hier die Namen vertauscht. Löscht man den Eintrag aus der hosts-Datei, steht dort statt coinhive.com einfach Euer eigener Nutzername – und das ist doch schon deutlich unverdächtiger ;)

Um die Frage aus dem Titel also klar zu beantworten: Nein, NVIDIA-Kunden werden nicht abgezockt – es ist nur obskures Windows-Verhalten.

coinhive
Was auch immer in der hosts-Datei steht, landet als Zieladresse im Ressourcenmonitor.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help und VoltAmpereWatt.de. Neu: Mastodon

2 Kommentare

    1. Lieber „ichfickdich kevin“,

      Beleidigungen sind zwar super, aber es hilft, wenn man den Leuten sagt, warum man sie beleidigt – sonst muss ich hier raten oder wie hast Du Dir das vorgestellt? Mal als Beispiel:

      Du lieferst keine Begründung und bist unhöflich, also fick Dich „ichfickdich kevin“, Du dumme Sau.

      Mann Mann Mann, lernt man in der Schule denn gar nichts, nichtmal ordentliches Beleidigen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Schaltfläche "Zurück zum Anfang"
Schließen

Ooopsi!

Bitte deaktiviere Deinen Adblocker.