Coinhive: Erst CPU-Power per Browser geklaut, jetzt GPU-Leistung per NVIDIA-Tools? Ein Blick in den Ressourcenmonitor von Windows legt das nahe – manchmal …

Mit dem Crypto Miner Coinhive haben zuletzt Kriminelle vielen Nutzern per Browser CPU-Leistung geklaut – und jetzt auch per NVIDIA GeForce Experience? Ein Blick in den Ressourcenmonitor von Windows zeigte auf meinem Rechner genau diese Verbindung. Und es würde durchaus Sinn ergeben, nicht CPU- sondern GPU-Leistung abzuziehen.

Nicht NVIDIA, sondern Tutonaut war’s

Ja, so sieht’s aus. Aber mal von vorne: Vor kurzem gab es hier einen Artikel, wie man bestehende Internet-Verbindungen auf einem Android-Gerät auflisten und nachverfolgen kann. Und da wollte ich kurz nachlegen, um zu zeigen, wie man dasselbe unter Windows macht. Und zwar mit Windows-eigenen Tools. In diesem Fall ist das der Ressourcenmonitor, den Ihr am besten über den Ausführen-Dialog (Win+R) mit dem Befehl perfmon /res startet, um direkt in der richtigen Ansicht zu landen.

Hier werden nun Programme aufgelistet, die Netzwerkverbindungen aufbauen sowie alle bestehenden Verbindungen. Man sieht also Verbindungen für jeden geöffneten Browser-Tab, Google Updater, Steam und so weiter. Unter anderem gab es hier auch den zu GeForce Experience gehörende Eintrag NVIDIA share.exe – und als Endpunkt der Kommunikation: coinhive.com. Und das wäre freundlich gesagt unerfreulich. Hinzu kommt, dass auch der Eintrag zum NVIDIA-Web-Helper auf coinhive verweist.

coinhive

Wer das erblickt, dürfte aufschrecken!

Die Lösung als Problem

Im Netz gab es bislang keinen Aufschrei, NVIDIA-Tools wären coinhive-infiziert – den hätte man gehört. Also gab es zwei Alternativen: Entweder ich habe etwas wirklich Großes entdeckt, oder etwas übersehen. Letzteres schien deutlich wahrscheinlicher und auch eine mögliche Lösung pirschte sich an: Kürzlich haben wir eine Anleitung veröffentlicht, wie Ihr Coinhive und ähnliche Dinge ganz einfach blocken könnt. Und natürlich war dieser Block hier noch aktiv. Die Kurzform: Per hosts-Datei wurde Verkehr Richtung coinhive.com auf 127.0.0.1, also den lokalen Rechner umgeleitet.

Und daraus hat sich der Ressourcenmonitor wohl einen Spaß gemacht: Die NVIDIA-Programme nutzen einen Loopback, eine Schleife, bei der Sender und Empfänger ein und derselbe Rechner sind. So können, grob und stark pauschalisiert ausgedrückt, Client-Server-Anwendungen lokal laufen. Die verdächtigten Programme kommunizieren also mit 127.0.0.1 (localhost), nicht mit coinhive.com. Durch die manuelle Umleitung in der hosts-Datei wurden hier die Namen vertauscht. Löscht man den Eintrag aus der hosts-Datei, steht dort statt coinhive.com einfach Euer eigener Nutzername – und das ist doch schon deutlich unverdächtiger 😉

Um die Frage aus dem Titel also klar zu beantworten: Nein, NVIDIA-Kunden werden nicht abgezockt – es ist nur obskures Windows-Verhalten.

coinhive

Was auch immer in der hosts-Datei steht, landet als Zieladresse im Ressourcenmonitor.

Über den Autor

Mirco Lang

Mirco Lang

Am Anfang war der C-64 des großen Bruders des besten Freundes in der Grundschule …

Der echte Technikwahn kam dann mit einer Ausbildung bei Saturn – als Computer noch erklärt werden mussten, Soundkarten benötigten, ein gutes Monatsgehalt kosteten und das Internet nur bei Nerds und mit 38 kbp/s lief, bestenfalls.

Ein Studium der Informationswirtschaft und ein paar Jahre als Redakteur bei Data Becker später, sitzt hier ein freier Journalist, der auf Old-School-Computing (cli ftw!), Free Software, Frickelei, Kodi und „Hundedinger“ steht – und Grauseligkeiten wie Bild und Heftig.co zutiefst verabscheut.

Und sonst so? Sauerländer, Ex-BSI’ler, untalentierter Musikinstrumentebesitzer und seit 26 Jahren Skateboarder, ein ziemlich alter. Und manchmal kommt das abgebrochene Philo-Studium wieder durch …

Artikel kommentieren: