Anzeige
HardwareSicherheitWeb

Werden NVIDIA-Kunden für Coinhive missbraucht?

Mit dem Crypto Miner Coinhive haben zuletzt Kriminelle vielen Nutzern per Browser CPU-Leistung geklaut – und jetzt auch per NVIDIA GeForce Experience? Ein Blick in den Ressourcenmonitor von Windows zeigte auf meinem Rechner genau diese Verbindung. Und es würde durchaus Sinn ergeben, nicht CPU- sondern GPU-Leistung abzuziehen.

Anzeige

Nicht NVIDIA, sondern Tutonaut war’s

Ja, so sieht’s aus. Aber mal von vorne: Vor kurzem gab es hier einen Artikel, wie man bestehende Internet-Verbindungen auf einem Android-Gerät auflisten und nachverfolgen kann. Und da wollte ich kurz nachlegen, um zu zeigen, wie man dasselbe unter Windows macht. Und zwar mit Windows-eigenen Tools. In diesem Fall ist das der Ressourcenmonitor, den Ihr am besten über den Ausführen-Dialog (Win+R) mit dem Befehl perfmon /res startet, um direkt in der richtigen Ansicht zu landen.

Hier werden nun Programme aufgelistet, die Netzwerkverbindungen aufbauen sowie alle bestehenden Verbindungen. Man sieht also Verbindungen für jeden geöffneten Browser-Tab, Google Updater, Steam und so weiter. Unter anderem gab es hier auch den zu GeForce Experience gehörende Eintrag NVIDIA share.exe – und als Endpunkt der Kommunikation: coinhive.com. Und das wäre freundlich gesagt unerfreulich. Hinzu kommt, dass auch der Eintrag zum NVIDIA-Web-Helper auf coinhive verweist.

coinhive
Wer das erblickt, dürfte aufschrecken!

Die Lösung als Problem

Im Netz gab es bislang keinen Aufschrei, NVIDIA-Tools wären coinhive-infiziert – den hätte man gehört. Also gab es zwei Alternativen: Entweder ich habe etwas wirklich Großes entdeckt, oder etwas übersehen. Letzteres schien deutlich wahrscheinlicher und auch eine mögliche Lösung pirschte sich an: Kürzlich haben wir eine Anleitung veröffentlicht, wie Ihr Coinhive und ähnliche Dinge ganz einfach blocken könnt. Und natürlich war dieser Block hier noch aktiv. Die Kurzform: Per hosts-Datei wurde Verkehr Richtung coinhive.com auf 127.0.0.1, also den lokalen Rechner umgeleitet.

Und daraus hat sich der Ressourcenmonitor wohl einen Spaß gemacht: Die NVIDIA-Programme nutzen einen Loopback, eine Schleife, bei der Sender und Empfänger ein und derselbe Rechner sind. So können, grob und stark pauschalisiert ausgedrückt, Client-Server-Anwendungen lokal laufen. Die verdächtigten Programme kommunizieren also mit 127.0.0.1 (localhost), nicht mit coinhive.com. Durch die manuelle Umleitung in der hosts-Datei wurden hier die Namen vertauscht. Löscht man den Eintrag aus der hosts-Datei, steht dort statt coinhive.com einfach Euer eigener Nutzername – und das ist doch schon deutlich unverdächtiger ;)

Anzeige

Um die Frage aus dem Titel also klar zu beantworten: Nein, NVIDIA-Kunden werden nicht abgezockt – es ist nur obskures Windows-Verhalten.

coinhive
Was auch immer in der hosts-Datei steht, landet als Zieladresse im Ressourcenmonitor.

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Checkmk-Handbuchschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler. Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds. Wenn Ihr hier mehr über Open Source, Linux und Bastelkram lesen und Tutonaut unterstützen möchtet: Über Kaffeesponsoring via Paypal.freue ich mich immer. Schon mal im Voraus: Danke! Nicht verpassen: cli.help

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Do NOT follow this link or you will be banned from the site!