Coinhive: Erst CPU-Power per Browser geklaut, jetzt GPU-Leistung per NVIDIA-Tools? Ein Blick in den Ressourcenmonitor von Windows legt das nahe – manchmal …

Mit dem Crypto Miner Coinhive haben zuletzt Kriminelle vielen Nutzern per Browser CPU-Leistung geklaut – und jetzt auch per NVIDIA GeForce Experience? Ein Blick in den Ressourcenmonitor von Windows zeigte auf meinem Rechner genau diese Verbindung. Und es würde durchaus Sinn ergeben, nicht CPU- sondern GPU-Leistung abzuziehen.

Nicht NVIDIA, sondern Tutonaut war’s

Ja, so sieht’s aus. Aber mal von vorne: Vor kurzem gab es hier einen Artikel, wie man bestehende Internet-Verbindungen auf einem Android-Gerät auflisten und nachverfolgen kann. Und da wollte ich kurz nachlegen, um zu zeigen, wie man dasselbe unter Windows macht. Und zwar mit Windows-eigenen Tools. In diesem Fall ist das der Ressourcenmonitor, den Ihr am besten über den Ausführen-Dialog (Win+R) mit dem Befehl perfmon /res startet, um direkt in der richtigen Ansicht zu landen.

Hier werden nun Programme aufgelistet, die Netzwerkverbindungen aufbauen sowie alle bestehenden Verbindungen. Man sieht also Verbindungen für jeden geöffneten Browser-Tab, Google Updater, Steam und so weiter. Unter anderem gab es hier auch den zu GeForce Experience gehörende Eintrag NVIDIA share.exe – und als Endpunkt der Kommunikation: coinhive.com. Und das wäre freundlich gesagt unerfreulich. Hinzu kommt, dass auch der Eintrag zum NVIDIA-Web-Helper auf coinhive verweist.

coinhive

Wer das erblickt, dürfte aufschrecken!

Die Lösung als Problem

Im Netz gab es bislang keinen Aufschrei, NVIDIA-Tools wären coinhive-infiziert – den hätte man gehört. Also gab es zwei Alternativen: Entweder ich habe etwas wirklich Großes entdeckt, oder etwas übersehen. Letzteres schien deutlich wahrscheinlicher und auch eine mögliche Lösung pirschte sich an: Kürzlich haben wir eine Anleitung veröffentlicht, wie Ihr Coinhive und ähnliche Dinge ganz einfach blocken könnt. Und natürlich war dieser Block hier noch aktiv. Die Kurzform: Per hosts-Datei wurde Verkehr Richtung coinhive.com auf 127.0.0.1, also den lokalen Rechner umgeleitet.

Und daraus hat sich der Ressourcenmonitor wohl einen Spaß gemacht: Die NVIDIA-Programme nutzen einen Loopback, eine Schleife, bei der Sender und Empfänger ein und derselbe Rechner sind. So können, grob und stark pauschalisiert ausgedrückt, Client-Server-Anwendungen lokal laufen. Die verdächtigten Programme kommunizieren also mit 127.0.0.1 (localhost), nicht mit coinhive.com. Durch die manuelle Umleitung in der hosts-Datei wurden hier die Namen vertauscht. Löscht man den Eintrag aus der hosts-Datei, steht dort statt coinhive.com einfach Euer eigener Nutzername – und das ist doch schon deutlich unverdächtiger ;)

Um die Frage aus dem Titel also klar zu beantworten: Nein, NVIDIA-Kunden werden nicht abgezockt – es ist nur obskures Windows-Verhalten.

coinhive

Was auch immer in der hosts-Datei steht, landet als Zieladresse im Ressourcenmonitor.

Über den Autor

Mirco Lang

Mirco Lang

Freier Journalist, Exil-Sauerländer, (ziemlich alter) Skateboarder, Dipl.-Inf.-Wirt, Einzelhandelskaufmann, Open-Source-Nerd, Stichwortschreiber. Ex-Saturn'ler, Ex-Data-Becker'ler, Ex-BSI'ler.

Computer-Erstkontakt: ca. 1982 - der C64 des großen Bruders eines Freunds.

Wenn ich Dir helfen konnte und/oder Du hier mehr über Open Source, Linux, Bastelkram oder auch Windows-Basics lesen möchtest:
Spendier mir einen Kaffee via Paypal.

Kommentieren:

* Die Checkbox für die Zustimmung zur Speicherung ist nach DSGVO zwingend.

Ich akzeptiere