《绝地求生》辅助程序暗藏挖矿木马

0x1 概述

数字货币“挖矿”, 通俗讲就是猜数字求解,猜对即可获得数字货币奖励。目前已知的数字货币约有100多种,包括比特币、莱卡币、门罗币等常见类型,并且近年来其价格呈快速增长趋势。以比特币为例,目前1比特币价格为14841美元,折合人民币97140元;而在2017年年初1比特币价格仅为1000美元,在短短的一年内其价格上涨十几倍。巨大的利润吸引越来越多的挖矿者投入更多的计算资源挖矿,并将算盘打到广大网友头上。

腾讯电脑管家近日捕获的HSR币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。经分析,已确定该挖矿木马名为tlMiner,由一游戏辅助团队投放,目前已影响了数十万台用户机器。

绝地求生小辅助启动流程:

(HSR币,网上戏称为“红烧肉”币,是一种新的去中心化、开源、跨系统的数字加密货币,具有双重侧链,同时兼容区块链和DAG两种分布式系统,HSR于今年6月完成ICO,8月20日上线中国比特币交易平台,目前交易价格接近200人民币,且仍在上涨;与比特币类似,HSR币数量也是固定的,总量大约为8400万)

0x2 详细分析

这款辅助采用易语言编写,包含辅助主程序,依赖库以及白利用文件tlwgft.dat。

主程序加了4层壳:两层upx压缩,一层简单的加密壳,以及部分VM代码。其中解密算法也被混淆,以此对抗反编译。

被解密的代码每4字节为一组,与0Xc2e22c1c做减法即可解密。

辅助启动后会拷贝系统的白文件,覆盖到当前目录tlwgft.dat,默认拷贝mshat.exe。如果拷贝失败,则从内置列表依次拷贝,可被利用的系统文件列表如下:

拷贝完毕则启动tlwgft.dat进程,主程序内置一个PE文件mgr.exe,利用内存加载方式替换tlwgfz的内存为mgr,替换时会刻意抹掉PE头,以对抗内存dump。tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。

主程序启动后,联网访问一份进程列表。

这是一份木马的进程检查黑名单,大部分是安全类软件,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件。

辅助主界面:

辅助开启后,从服务器拉取配置文件,目前已知该辅助有3个服务器:

下载后解压文件,是辅助的一些功能配置文件。

拉取完辅助配置文件,会从服务器拉取挖矿程序pubghsr.exe。

下载成功后Pubghsr被释放在c:\windows\system\wininit.exe,并设置为开机启动。

程序基于ccMiner 2.0开源挖矿程序,ccMiner是基于NVIDIA GPU的挖矿程序,兼容windows,Linux,目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘。

目前该挖矿木马专门挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。

由于个体挖矿产出能力有限,很可能颗粒无收,该木马会借助矿池挖矿,已连接矿池地址:

hcash.uupool.cn: 双优矿池,用户名为tlwg.TCCS3

hcash-shanghai.globalpool.cc: 新星上海矿池,tlwg.PUBG 矿池作为一个平台,所有有计算能力的机器都可以参与挖矿,若获得奖励,则按其机器的算力高低分配。目前HSR币的产量大概每天624.93个。

HSR币从12月15号价格开始上涨,目前交易价格为人民币174元,且还在上涨。

0x3 溯源

该辅助工具虽然存在已久,但此次发现的挖矿木马是在12月8号辅助新版发布后才开始植入辅助工具。从传播趋势看,该木马从12月8号开始影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响。

该辅助程序在12月22日晚宣布停用。

但巨大的利益驱使不法分子在12月25号重新开放辅助及挖矿功能。

根据留下的社交群号码,找到多个超级群,且这些超级群也都是满员状态。

从创建日期看,有些是挖矿木马投放当天创建的。

根据社交群文件找到辅助的下载地址:

打开后得到网盘下载地址,在该资源目录下,发现除了绝地求生辅助,还有其它加速器破解版。

经验证,该加速器同样被植入挖矿木马:

已知这两款程序是由某网吧联盟团队开发,在BBS上也可以发现绝地求生小辅助,而且下载量也过万。

进入其工会频道,频道内24小时机器人喊话推广这款辅助,公告上也提示用户卸载掉杀毒软件。

此外,下载站也在疯狂传播该辅助程序。经分析,网上搜索“吃鸡”、“绝地求生”等关键词,在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知,仅通过该下载器下载辅助的人次就已高达10万。

0x4 安全建议

1、 开启系统自动更新,及时打补丁,防止恶意木马利用; 2、 服务器避免使用弱口令,不给不法分子可乘之机; 3、 机器卡慢时应立即查看CPU使用情况,若发现可疑进程可及时关闭; 4、 不浏览色情、辅助等被标记为不可信的网站; 5、 不使用辅助及来路不明的软件,使用软件前先用安全软件进行扫描,使用腾讯电脑管家拦截查杀该类挖矿木马。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吾真本

架构操练Kata:金融风险系统

(译自Simon Brown的Software Architecture for Developers II;译者:伍斌) 背景 一家办公室设在伦敦、纽约和...

914
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–资产会计(162)-25相关冲销

5 附录 5.1 流程步骤的冲销 在如下章节中,可以找到最常见的冲销步骤,用来冲销本文档中描述的某些活动。 在建工程结算事务代码 (SAP GUI)AIAB冲销...

3995
来自专栏安恒信息

用户需警惕“中秋假期安排”木马

中秋小长假临近,假期如何安排成了人们近期讨论的热点话题。近日,安全实验室发现大量“中秋节假期安排”、“中秋节假期攻略”等相关字眼的文件在QQ群共享、QQ邮箱、...

3347
来自专栏区块链

比特币流量嗅探器和分析器

在这篇文章里,我会展示如何运用一个简单的 IP 嗅探器来截取比特币的交易消息。

9665
来自专栏区块链技术指北

Python 统计个人加密货币资产

这是「区块链技术指北」的第 7 篇文章。 如果对我感兴趣,想和我交流,我的微信号:Wentasy,加我时简单介绍下自己,并注明来自「区块链技术指北」。同时我会把...

3686

NBitcoin:最完整的比特币港口(第1部分:加密)

Codeproject的研究员们,我很高兴发布系列的第一篇文章。[NEW:第2部分在这里 ]我最近从C++到C#移植了一部分很棒的比特币源代码。我导入了几乎所有...

1.4K14
来自专栏Netkiller

EOS 智能合约中数据表的操作方法

中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890 <netkiller@msn.com>

2759
来自专栏FreeBuf

极客DIY:教你做一个简单的“太阳能”移动电源

在这篇分享中,我将向大家一步一步的展示如何手工制作一个简单的太阳能移动电源。同时因为我个人的喜好,漂亮且艺术感十足的木质外在的制作过程也会包含其中。 类似的分享...

1999
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(196)-FI-月结/年结

1、MMPV/MMRV 关闭待结期间物料帐,并打开下一期间物料帐 2、OB52打开下一个会计期间财务帐 3、F-02,VF01,MIRO等,确认本期间业务全部入...

3043
来自专栏IT派

关于微信和Python的点点滴滴

微信自上线以来,一直没有自动回复的功能,想必是有他们的理念。但是有些人群,确实对此功能有一定需求,我举两个栗子:

1000

扫码关注云+社区

领取腾讯云代金券