快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

《尽地求生》辅助程序暗躲挖矿木马,腾讯电脑管家协助破案

0×1 概述

数字货币“挖矿”, 通俗讲就是猜数字求解,猜对即可获得数字货币奖励。目前已知的数字货币约有100多种,包括比特币、莱卡币、门罗币等常见类型,并且近年来其价格呈快速增进趋向。以比特币为例,目前1比特币价格为14841美元,折合人民币97140元;而在2017年年初1比特币价格仅为1000美元,在短短的一年内其价格上涨十几倍。巨大的利润吸取越来越多的挖矿者投入更多的计算资源挖矿,并将算盘打到泛博网友头上。

腾讯电脑管家近日拿获的HSR币挖矿木马,隐躲在“尽地求生”辅助程序中,而由于“尽地求生”对电脑性能请求较高,造孽分子瞄准”尽地求生”玩家电脑,至关于找到了“尽佳”的挖矿机器。经阐发,已确定该挖矿木马名为tlMiner,由一游戏辅助团队投放,目前已影响了数十万台用户机器。

尽地求生小辅助启动流程:

1.png

(HSR币,网上戏称为“红烧肉”币,是一种新的去中心化、开源、跨体系的数字加密货币,具有两重侧链,同时兼容区块链以及DAG两种分布式体系,HSR于今年6月实现ICO,8月20日上线中国比特币交易平台,目前交易价格接近200人民币,且仍在上涨;与比特币类似,HSR币数量也是固定的,总量大约为8400万)

0×2 具体阐发

这款辅助采用易说话编写,包含辅助主程序,依靠库和白行使文件tlwgft.dat。

2.png

主程序加了4层壳:两层upx压缩,一层简单的加密壳,和部分VM代码。其中解密算法也被混淆,以此匹敌反编译。

3.png

被解密的代码每一4字节为一组,与0Xc2e22c1c做减法即可解密。

4.png

辅助启动后会拷贝体系的白文件,笼盖到当前目录tlwgft.dat,默认拷贝mshat.exe。要是拷贝失败,则从内置列表依次拷贝,可被行使的体系文件列表以下:

5.png

拷贝完毕则启动tlwgft.dat进程,主程序内置一个PE文件mgr.exe,行使内存加载方式替代tlwgfz的内存为mgr,替代时会刻意抹掉PE头,以匹敌内存dump。tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,和挖矿木马投放。

主程序启动后,联网走访一份进程列表。

6.png

这是一份木马的进程检查黑名单,大部分是安全类软件,要是本机有下列进程在运行,则提示用户关闭或卸载这些软件。

7.png

辅助主界面:

8.png

辅助开启后,从服务器拉取设置文件,目前已知该辅助有3个服务器:

9.png

下载后解压文件,是辅助的一些功能设置文件。

10.png

拉取完辅助设置文件,会从服务器拉取挖矿程序pubghsr.exe。

11.png

下载成功后Pubghsr被开释在c:\windows\system\wininit.exe,并配置为开机启动。

程序基于ccMiner 2.0开源挖矿程序,ccMiner是基于NVIDIA GPU的挖矿程序,兼容windows,Linux,目前支持包括bitcoin 、HSR、Sibcoin 在内的58种捏造币的挖掘。

12.png

目前该挖矿木马专程挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。

13.png

由于个体挖矿产出能力有限,极可能颗粒无收,该木马会借助矿池挖矿,已连接矿池地址:

hcash.uupool.cn: 双优矿池,用户名为tlwg.TCCS3

hcash-shanghai.globalpool.cc: 新星上海矿池,tlwg.PUBG

矿池作为一个平台,所有有计算能力的机器都可以参与挖矿,若获得奖励,则按其机器的算力高低调配。目前HSR币的产量大概每天624.93个。

14.png

HSR币从12月15号价格最先上涨,目前交易价格为人民币174元,且还在上涨。

15.png

0×3 溯源

该辅助工具虽然存在已久,但此次发现的挖矿木马是在12月8号辅助新版发布后才最先植入辅助工具。从传播趋向看,该木马从12月8号最先影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响。

16.png

该辅助程序在12月22日晚宣告停用。

17.png

但巨大的利益驱策造孽分子在12月25号重新开放辅助及挖矿功能。

18.png

根据留下的交际群号码,找到多个超级群,且这些超级群也都是满员状态。

19.png

从创建日期看,有些是挖矿木马投放当天创建的。

20.png

根据交际群文件找到辅助的下载地址:

21.png

关上后得到网盘下载地址,在该资源目录下,发现除了尽地求生辅助,还有别的加速器破解版。

22.png

经验证,该加速器一样被植入挖矿木马:

23.png

已知这两款程序是由某网吧联盟团队开发,在BBS上也能够发现尽地求生小辅助,而且下载量也过万。

224.png

进入其工会频道,频道内24小时机器人喊话推行这款辅助,网络黑客,公告上也提示用户卸载掉杀毒软件。

25.png

此外,下载站也在疯狂传播该辅助程序。经阐发,网上搜索“吃鸡”、“尽地求生”等症结词,在搜索页面置顶的下载站辅助程序一样携带挖矿木马。从图可知,仅通过该下载器下载辅助的人次就已高达10万。

225.png

0×4 腾讯电脑管家协助警方破获特大非法控制计算机体系案

近期,潍坊市公安局网安支队会同青州市公安局在公安部、省公安厅指导下,在腾讯守护者计划安全团队协助下,按照公安部以及省公安厅“净网2018专项步履”部署请求,成功破获部督“1.03”特大非法控制计算机信息体系案,目前抓获犯法怀疑人20名,取保候审11名,批捕9名。

经查,大连昇平收集科技有限公司研发挖矿监控软件、集成挖矿程序后,通过发铺下线代办署理,非法控制了天下389余万台电脑主机做广告增值收益,在100多万台电脑主机静默装置挖矿程序。两年期间共挖取DGB币(“极特币”)、DCR币(“德赛币”)、SC(“云产币”)币2600余万枚,共非法获利1500余万元。

0×5 安全建议

一、 开启体系自动更新,及时打补丁,防止恶意木马行使;

2、 服务器避免使用弱口令,不给造孽分子可乘之机;

三、 机器卡慢时应立即查看CPU使用情形,若发现可疑进程可及时关闭;

四、 不阅读色情、辅助等被标记为不可托的网站;

五、 不使用辅助及来路不明的软件,使用软件前先用安全软件进行扫描,使用腾讯电脑管家拦截查杀该类挖矿木马。

*:腾讯电脑管家,

您可能还会对下面的文章感兴趣: