|
0×1 概述 數字貨幣「挖礦」, 通俗講就是猜數字求解,猜對即可獲得數字貨幣獎勵。目前已知的數字貨幣約有100多種,包括比特幣、萊卡幣、門羅幣等常見類型,並且近年來其價格呈快速增長趨勢。以比特幣為例,目前1比特幣價格為14841美元,折合人民幣97140元;而在2017年年初1比特幣價格僅為1000美元,在短短的一年內其價格上漲十幾倍。巨大的利潤吸引越來越多的挖礦者投入更多的計算資源挖礦,並將算盤打到廣大網友頭上。 騰訊電腦管家近日捕獲的HSR幣挖礦木馬,隱藏在「絕地求生」輔助程序中,而由於「絕地求生」對電腦性能要求較高,不法分子瞄準」絕地求生」玩家電腦,相當於找到了「絕佳」的挖礦機器。經分析,已確定該挖礦木馬名為tlMiner,由一遊戲輔助團隊投放,目前已影響了數十萬台用戶機器。 絕地求生小輔助啟動流程:
(HSR幣,網上戲稱為「紅燒肉」幣,是一種新的去中心化、開源、跨系統的數字加密貨幣,具有雙重側鏈,同時兼容區塊鏈和DAG兩種分佈式系統,HSR於今年6月完成ICO,8月20日上線中國比特幣交易平台,目前交易價格接近200人民幣,且仍在上漲;與比特幣類似,HSR幣數量也是固定的,總量大約為8400萬) 0×2 詳細分析這款輔助採用易語言編寫,包含輔助主程序,依賴庫以及白利用文件tlwgft.dat。
主程序加了4層殼:兩層upx壓縮,一層簡單的加密殼,以及部分VM代碼。其中解密算法也被混淆,以此對抗反編譯。
被解密的代碼每4字節為一組,與0Xc2e22c1c做減法即可解密。
輔助啟動後會拷貝系統的白文件,覆蓋到當前目錄tlwgft.dat,默認拷貝mshat.exe。如果拷貝失敗,則從內置列表依次拷貝,可被利用的系統文件列表如下:
拷貝完畢則啟動tlwgft.dat進程,主程序內置一個PE文件mgr.exe,利用內存加載方式替換tlwgfz的內存為mgr,替換時會刻意抹掉PE頭,以對抗內存dump。tlwgft此時屬於輔助主界面程序,負責輔助的更新,模塊投放,以及挖礦木馬投放。 主程序啟動後,聯網訪問一份進程列表。
這是一份木馬的進程檢查黑名單,大部分是安全類軟件,如果本機有以下進程在運行,則提示用戶關閉或卸載這些軟件。
輔助主界面:
輔助開啟後,從服務器拉取配置文件,目前已知該輔助有3個服務器:
下載後解壓文件,是輔助的一些功能配置文件。
拉取完輔助配置文件,會從服務器拉取挖礦程序pubghsr.exe。
下載成功後Pubghsr被釋放在c:\windows\system\wininit.exe,並設置為開機啟動。 程序基於ccMiner 2.0開源挖礦程序,ccMiner是基於NVIDIA GPU的挖礦程序,兼容windows,Linux,目前支持包括bitcoin 、HSR、Sibcoin 在內的58種虛擬幣的挖掘。
目前該挖礦木馬專門挖取HSR幣,以目前的交易價格,1算力每天可獲得人民幣2.014元。
由於個體挖礦產出能力有限,很可能顆粒無收,該木馬會借助礦池挖礦,已連接礦池地址: hcash.uupool.cn: 雙優礦池,用戶名為tlwg.TCCS3 hcash-shanghai.globalpool.cc: 新星上海礦池,tlwg.PUBG
礦池作為一個平台,所有有計算能力的機器都可以參與挖礦,若獲得獎勵,則按其機器的算力高低分配。目前HSR幣的產量大概每天624.93個。
HSR幣從12月15號價格開始上漲,目前交易價格為人民幣174元,且還在上漲。
0×3 溯源該輔助工具雖然存在已久,但此次發現的挖礦木馬是在12月8號輔助新版發佈後才開始植入輔助工具。從傳播趨勢看,該木馬從12月8號開始影響用戶機器,並在12月20號達到最高峰值,僅20號當天就有近20萬台機器受到該挖礦木馬影響。
該輔助程序在12月22日晚宣佈停用。
但巨大的利益驅使不法分子在12月25號重新開放輔助及挖礦功能。
根據留下的社交群號碼,找到多個超級群,且這些超級群也都是滿員狀態。
從創建日期看,有些是挖礦木馬投放當天創建的。
根據社交群文件找到輔助的下載地址:
打開後得到網盤下載地址,在該資源目錄下,發現除了絕地求生輔助,還有其它加速器破解版。
經驗證,該加速器同樣被植入挖礦木馬:
已知這兩款程序是由某網吧聯盟團隊開發,在BBS上也可以發現絕地求生小輔助,而且下載量也過萬。
進入其工會頻道,頻道內24小時機器人喊話推廣這款輔助,公告上也提示用戶卸載掉殺毒軟件。
此外,下載站也在瘋狂傳播該輔助程序。經分析,網上搜索「吃雞」、「絕地求生」等關鍵詞,在搜索頁面置頂的下載站輔助程序同樣攜帶挖礦木馬。從圖可知,僅通過該下載器下載輔助的人次就已高達10萬。
0×4 安全建議1、 開啟系統自動更新,及時打補丁,防止惡意木馬利用; 2、 服務器避免使用弱口令,不給不法分子可乘之機; 3、 機器卡慢時應立即查看CPU使用情況,若發現可疑進程可及時關閉;
| 
威望
藍鑽
GP
狗仔卡
收藏
分享
提升卡
變色卡
千斤頂
