Werden NVIDIA-Kunden für Coinhive missbraucht?
Mit dem Crypto Miner Coinhive haben zuletzt Kriminelle vielen Nutzern per Browser CPU-Leistung geklaut - und jetzt auch per NVIDIA GeForce Experience? Ein Blick in den Ressourcenmonitor von Windows zeigte auf meinem Rechner genau diese Verbindung. Und es würde durchaus Sinn ergeben, nicht CPU- sondern GPU-Leistung abzuziehen.
Nicht NVIDIA, sondern Tutonaut war's
Ja, so sieht's aus. Aber mal von vorne: Vor kurzem gab es hier einen Artikel, wie man bestehende Internet-Verbindungen auf einem Android-Gerät auflisten und nachverfolgen kann. Und da wollte ich kurz nachlegen, um zu zeigen, wie man dasselbe unter Windows macht. Und zwar mit Windows-eigenen Tools. In diesem Fall ist das der Ressourcenmonitor, den Ihr am besten über den Ausführen-Dialog (Win+R) mit dem Befehl perfmon /res startet, um direkt in der richtigen Ansicht zu landen.
Hier werden nun Programme aufgelistet, die Netzwerkverbindungen aufbauen sowie alle bestehenden Verbindungen. Man sieht also Verbindungen für jeden geöffneten Browser-Tab, Google Updater, Steam und so weiter. Unter anderem gab es hier auch den zu GeForce Experience gehörende Eintrag NVIDIA share.exe - und als Endpunkt der Kommunikation: coinhive.com. Und das wäre freundlich gesagt unerfreulich. Hinzu kommt, dass auch der Eintrag zum NVIDIA-Web-Helper auf coinhive verweist.
Die Lösung als Problem
Im Netz gab es bislang keinen Aufschrei, NVIDIA-Tools wären coinhive-infiziert - den hätte man gehört. Also gab es zwei Alternativen: Entweder ich habe etwas wirklich Großes entdeckt, oder etwas übersehen. Letzteres schien deutlich wahrscheinlicher und auch eine mögliche Lösung pirschte sich an: Kürzlich haben wir eine Anleitung veröffentlicht, wie Ihr Coinhive und ähnliche Dinge ganz einfach blocken könnt. Und natürlich war dieser Block hier noch aktiv. Die Kurzform: Per hosts-Datei wurde Verkehr Richtung coinhive.com auf 127.0.0.1, also den lokalen Rechner umgeleitet.
Und daraus hat sich der Ressourcenmonitor wohl einen Spaß gemacht: Die NVIDIA-Programme nutzen einen Loopback, eine Schleife, bei der Sender und Empfänger ein und derselbe Rechner sind. So können, grob und stark pauschalisiert ausgedrückt, Client-Server-Anwendungen lokal laufen. Die verdächtigten Programme kommunizieren also mit 127.0.0.1 (localhost), nicht mit coinhive.com. Durch die manuelle Umleitung in der hosts-Datei wurden hier die Namen vertauscht. Löscht man den Eintrag aus der hosts-Datei, steht dort statt coinhive.com einfach Euer eigener Nutzername - und das ist doch schon deutlich unverdächtiger ;)
Um die Frage aus dem Titel also klar zu beantworten: Nein, NVIDIA-Kunden werden nicht abgezockt - es ist nur obskures Windows-Verhalten.
du huan
Lieber “ichfickdich kevin”,
Beleidigungen sind zwar super, aber es hilft, wenn man den Leuten sagt, warum man sie beleidigt – sonst muss ich hier raten oder wie hast Du Dir das vorgestellt? Mal als Beispiel:
Mann Mann Mann, lernt man in der Schule denn gar nichts, nichtmal ordentliches Beleidigen?