上百款《荒野行动》游戏辅助被植入挖矿木马
《绝地求生》、《荒野行动》等枪战竞技游戏对玩家电脑的配置要求较高，这早已不是什么新鲜事，然而“高配置”却容易成为不法分子寻找“绝佳”挖矿机器的重要诱因。2017年12月，腾讯电脑管家发现一款名为tlMiner的挖矿木马藏身《绝地求生》辅助程序中，影响机器量高达数十万台。此外，同期发现的另一款门罗币挖矿木马利用《荒野行动》辅助二次打包程序进行微量传播，并在2月中下旬呈现上涨趋势。
0×2 详细分析
带挖矿木马的辅助文件可大致分割为3个块区:
原始块：储存着原始的辅助PE文件
木马块：两个功能，充当木马的loader也是dropper，内部嵌入挖矿程序cass4.exe
配置块：存储木马辅助所需的参数，主要是名字，偏移，大小，在文件的末尾处，大小为0×70字节。辅助的各个块都使用RC4算法加密，每个块使用不同的密匙：
原始块密匙：{E5A42E7E--BECC-7E}
木马块密匙：{ADAB6D32--8C18-2FC}
配置块密匙：{F918FE01-164A-4e62-9954-EDC8C3964C1B}
解密完成后，会依据配置信息把原始辅助及木马释放到temp目录下，并启动程序
其中一辅助界面：
木马启动后设置自身开机启动，启动项名ADSC
木马文件内嵌挖矿程序cass4.exe：
释放并启动cass4.exe，cass4的真身是xmrig
Xmrig是一款基于CPU的门罗币开源挖矿程序，木马使用的是xmrig 2.1版本，cass4参数
木马所用矿池为皮皮虾矿池华东一区：
溯源发现这些挖矿木马大部分都由《荒野行动》辅助释放，种类多达上百款，部分辅助名单：
对各个辅助进行分析，发现它们如下特点：
1、 作者QQ不相同
2、 推广Q群不同
1、 辅助全部使用易语言开发
2、 辅助都带有透视功能
3、 文件区块分布相同：原始块+木马块+配置块
4、 解密算法及密匙相同
5、 矿池信息相同
目前这些被二次打包的辅助主要在社交群、网盘传播
0×4 安全建议
在辅助程序中植入挖矿木马，利用玩家的高配置电脑挖取加密货币，已然成为不法分子挖矿的新方式。针对日益猖獗的不法挖矿行为，腾讯电脑管家推出“反挖矿防护”功能，可对此类挖矿木马进行全面拦截。目前该防护功能已覆盖电脑管家全版本用户，为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行，确保用户电脑资源不被侵占，拥有轻快的上网体验。
相关链接：《绝地求生》辅助程序暗藏挖矿木马
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点热门排行榜官方：《绝地求生》外挂含木马 20万电脑变矿机
　　【PConline资讯】1月4日消息，2017年年底《绝地求生》的官方推特晒出Steam统计截图，显示游戏的PC同时在线人数已经突破300万大关，而这其中就有大批用户是在开挂游戏，通过PUBG官方每周发出的封号通知来看，每周都会有大约10-20万玩家使用外挂游戏。　　但你可知道这些外挂可并不只是简单的游戏辅助，据腾讯方报道，他们在《绝地求生》辅助程序中捕获到了HSR币挖矿木马。该挖矿木马名为tlMiner，由一游戏辅助团队投放，目前已影响了数十万台用户机器。　　&　　&　　HSR币，网上戏称为&红烧肉&币，是一种新的去中心化、开源、跨系统的数字加密货币，具有双重侧链，同时兼容区块链和DAG两种分布式系统，HSR于今年6月完成ICO，8月20日上线中国比特币交易平台，目前交易价格接近200人民币，且仍在上涨；与比特币类似，HSR币数量也是固定的，总量大约为8400万。　　&　　 　　&　　 　　&　　因为&绝地求生&对电脑性能要求较高，因此成为了不法分子的目标，将玩家电脑变成了&绝佳&的挖矿机器。相关阅读:据说绝地求生国服要免费：买断和内购你选哪个？厉害！《绝地求生》网吧占有率超越《英雄联盟》腾讯发布《绝地求生》国服五大反外挂计划！&
最新资讯离线随时看
聊天吐槽赢奖品
大小：33.23 MB
授权：免费
大小：18.86 MB
授权：免费《绝地求生》辅助程序暗藏挖矿木马_重磅推荐_网络和信息安全_赛迪网
《绝地求生》辅助程序暗藏挖矿木马
腾讯电脑管家近日捕获的HSR币挖矿木马，隐藏在“绝地求生”辅助程序中，而由于“绝地求生”对电脑性能要求较高，不法分子瞄准”绝地求生”玩家电脑，相当于找到了“绝佳”的挖矿机器。经分析，已确定该挖矿木马名为tlMiner，由一游戏辅助团队投放，目前已影响了数十万台用户机器。
发布时间： 14:48&&&&&&&&来源：freebuf.com&&&&&&&&作者：
数字货币&挖矿&， 通俗讲就是猜数字求解，猜对即可获得数字货币奖励。目前已知的数字货币约有100多种，包括比特币、莱卡币、门罗币等常见类型，并且近年来其价格呈快速增长趋势。以比特币为例，目前1比特币价格为14841美元，折合人民币97140元；而在2017年年初1比特币价格仅为1000美元，在短短的一年内其价格上涨十几倍。巨大的利润吸引越来越多的挖矿者投入更多的计算资源挖矿，并将算盘打到广大网友头上。
腾讯电脑管家近日捕获的HSR币挖矿木马，隐藏在&绝地求生&辅助程序中，而由于&绝地求生&对电脑性能要求较高，不法分子瞄准&绝地求生&玩家电脑，相当于找到了&绝佳&的挖矿机器。经分析，已确定该挖矿木马名为tlMiner，由一游戏辅助团队投放，目前已影响了数十万台用户机器。
绝地求生小辅助启动流程：
（HSR币，网上戏称为&红烧肉&币，是一种新的去中心化、开源、跨系统的数字加密货币，具有双重侧链，同时兼容区块链和DAG两种分布式系统，HSR于今年6月完成ICO，8月20日上线中国比特币交易平台，目前交易价格接近200人民币，且仍在上涨；与比特币类似，HSR币数量也是固定的，总量大约为8400万）
0&2 详细分析
这款辅助采用易语言编写，包含辅助主程序，依赖库以及白利用文件tlwgft.dat。
主程序加了4层壳：两层upx压缩，一层简单的加密壳，以及部分VM代码。其中解密算法也被混淆，以此对抗反编译。
被解密的代码每4字节为一组，与0Xc2e22c1c做减法即可解密。
辅助启动后会拷贝系统的白文件，覆盖到当前目录tlwgft.dat，默认拷贝mshat.exe。如果拷贝失败，则从内置列表依次拷贝，可被利用的系统文件列表如下：
拷贝完毕则启动tlwgft.dat进程，主程序内置一个PE文件mgr.exe，利用内存加载方式替换tlwgfz的内存为mgr，替换时会刻意抹掉PE头，以对抗内存dump。tlwgft此时属于辅助主界面程序，负责辅助的更新，模块投放，以及挖矿木马投放。
主程序启动后，联网访问一份进程列表。
这是一份木马的进程检查黑名单，大部分是安全类软件，如果本机有以下进程在运行，则提示用户关闭或卸载这些软件。
辅助主界面：
辅助开启后，从服务器拉取配置文件，目前已知该辅助有3个服务器：
下载后解压文件，是辅助的一些功能配置文件。
拉取完辅助配置文件，会从服务器拉取挖矿程序pubghsr.exe。
下载成功后Pubghsr被释放在c:\windows\system\wininit.exe，并设置为开机启动。
程序基于ccMiner 2.0开源挖矿程序，ccMiner是基于NVIDIA GPU的挖矿程序，兼容windows，Linux，目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘。
目前该挖矿木马专门挖取HSR币，以目前的交易价格，1算力每天可获得人民币2.014元。
由于个体挖矿产出能力有限，很可能颗粒无收，该木马会借助矿池挖矿，已连接矿池地址：
hcash.uupool.cn： 双优矿池，用户名为tlwg.TCCS3
hcash-shanghai.globalpool.cc： 新星上海矿池，tlwg.PUBG
矿池作为一个平台，所有有计算能力的机器都可以参与挖矿，若获得奖励，则按其机器的算力高低分配。目前HSR币的产量大概每天624.93个。
HSR币从12月15号价格开始上涨，目前交易价格为人民币174元，且还在上涨。
该辅助工具虽然存在已久，但此次发现的挖矿木马是在12月8号辅助新版发布后才开始植入辅助工具。从传播趋势看，该木马从12月8号开始影响用户机器，并在12月20号达到最高峰值，仅20号当天就有近20万台机器受到该挖矿木马影响。
该辅助程序在12月22日晚宣布停用。
但巨大的利益驱使不法分子在12月25号重新开放辅助及挖矿功能。
根据留下的社交群号码，找到多个超级群，且这些超级群也都是满员状态。
从创建日期看，有些是挖矿木马投放当天创建的。
根据社交群文件找到辅助的下载地址：
打开后得到网盘下载地址，在该资源目录下，发现除了绝地求生辅助，还有其它加速器破解版。
经验证，该加速器同样被植入挖矿木马：
已知这两款程序是由某网吧联盟团队开发，在BBS上也可以发现绝地求生小辅助，而且下载量也过万。
进入其工会频道，频道内24小时机器人喊话推广这款辅助，公告上也提示用户卸载掉杀毒软件。
此外，下载站也在疯狂传播该辅助程序。经分析，网上搜索&吃鸡&、&绝地求生&等关键词，在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知，仅通过该下载器下载辅助的人次就已高达10万。
0&4 安全建议
1、 开启系统自动更新，及时打补丁，防止恶意木马利用；
2、 服务器避免使用弱口令，不给不法分子可乘之机；
3、 机器卡慢时应立即查看CPU使用情况，若发现可疑进程可及时关闭；
4、 不浏览色情、辅助等被标记为不可信的网站；
5、 不使用辅助及来路不明的软件，使用软件前先用安全软件进行扫描，使用腾讯电脑管家拦截查杀该类挖矿木马。
关键词阅读:
1(共条评论)
2(共条评论)
3(共条评论)
4(共条评论)
5(共条评论)
云计算加速落地的今天安全问题依然严峻，山...
进化，一直都是我们所处这个世界的主题，无...
联系我们：
广告发布：
方案、案例展示：
京ICP000080号 网站-3
&&&&&&&&京公网安备45号挖矿木马非法获利1500万元 腾讯电脑管家已全面拦截
　　2017年底时，腾讯电脑管家曾发现一款名为“tlMiner”的挖矿木马的传播量达到峰值，12月20日当天有近20万台机器受到该挖矿木马影响，并发现“tlMiner”挖矿木马瞄准“吃鸡”玩家及网吧高配电脑，搭建挖矿集群。腾讯电脑管家配合守护者计划及时将该案线索提供给山东警方，协助警方于日成功破获389万台肉鸡电脑挖矿大案，涉案案值高达1500余万元。腾讯电脑管家已全面拦截该木马病毒。
(腾讯电脑管家全面拦截木马病毒)
游戏外挂暗藏木马程序 腾讯电脑管家协助警方破案
“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlMiner”挖矿木马，通过网吧联盟、论坛、下载站和云盘等渠道传播。木马作者通过以上渠道植入木马，非法控制网吧和个人计算机终端为其个人挖矿。针对这一情况，腾讯电脑管家和守护者计划安全团队继续加深对挖矿木马黑产链条的研究，协助山东警方深挖，进一步分析并挖掘到木马作者上游：一个公司化运营的大型挖矿木马黑色产业链。
日，在腾讯电脑管家的协助下，山东警方在辽宁大连一举破获了“tlMiner”挖矿木马黑产公司。该公司为大连当地高新技术企业，为非法牟利搭建木马平台，招募发展下级代理商近3500个，通过网吧渠道、吃鸡外挂、盗版视频软件传播投放木马，非法控制用户电脑终端389万台，进行数字加密货币挖矿、强制广告等非法业务，合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)等各类数字货币超过2000万枚，非法获利1500余万元。
(区块链木马挖矿黑产流程图)
该案为国内首例利用挖矿木马组建僵尸网络，非法控制计算机挖矿的案件，黑产公司通过在游戏外挂、盗版视频网站客户端中植入挖矿木马，控制超过389万台电脑组建挖矿僵尸网络，形成集群算力，掘金区块链数字加密货币。
挖矿木马控制电脑挖取巨额数字货币 用户却浑然不知
挖矿木马最早出现于2013年，但一直并未被外界关注。2017年，由于勒索病毒的大规模爆发，区块链和数字加密货币概念火爆，数字加密货币交易价格不断走高，受利益驱使，2018年挖矿木马成为最流行的木马，控制肉鸡电脑挖矿成为掘金最快的网络黑产。
由于挖矿木马的隐蔽性，即使用户电脑感染木马也不容易及时感知到。因为当前个人电脑的主流配置性能很强，即使木马已经在挖矿，性能变差的直观感受也并不明显。只有挖矿木马启动挖矿程序，同时用户启动较耗资源的应用，比如大型游戏，此时才会感觉电脑速度变慢、温度升高、风扇噪音增加等现象。通过大量计算机运算获取数字货币奖励，挖矿对电脑硬件配置要求比较高，主机经常长期高负荷运转，显卡、主板、内存等硬件会提前报废，对电脑的损害极大。
腾讯电脑管家持续监测挖矿木马 并实时全面查杀
位于大连的“tlMiner”挖矿木马团伙，并不是腾讯电脑管家捕捉到的规模最大的一个。2018年4月，腾讯御见威胁情报中心曾监控到一个遍布全球的PhotoMiner木马挖矿组织，该组织通过入侵感染FTP服务器、SMB服务器暴力破解来扩大传播范围。自2016年首次被发现至今，PhotoMiner木马团伙通过门罗币挖矿累计收入已达到令人惊叹的8900万人民币，是2018年上半年的“黄金矿工”，腾讯电脑管家已全面拦截该木马病毒。
(PhotoMiner木马团伙通过门罗币挖矿累计收入)
用户电脑被植入挖矿木马后，挖矿木马会充分利用系统资源，增加硬件消耗和电力消耗，会相应缩短电脑使用寿命。腾讯安全专家建议用户谨慎使用那些游戏外挂、破解软件、视频网站客户端破解工具，这些软件被人为植入恶意程序的概率较大。同时，安装正规杀毒软件并及时更新升级，当电脑卡顿、温度过热时，使用腾讯电脑管家进行检查，防止电脑被非法控制，造成不必要的损失。
责任编辑：
声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。
今日搜狐热点}