0×1 概述
数字货币“挖矿”, 通俗讲就是猜数字求解,猜对即可获得数字货币奖励。目前已知的数字货币约有 100 多种,包括比特币、莱卡币、门罗币等常见类型,并且近年来其价格呈快速增长趋势。以比特币为例,目前 1 比特币价格为 14841 美元,折合人民币 97140 元;而在 2017 年年初 1 比特币价格仅为 1000 美元,在短短的一年内其价格上涨十几倍。巨大的利润吸引越来越多的挖矿者投入更多的计算资源挖矿,并将算盘打到广大网友头上。
腾讯电脑管家近日捕获的 HSR 币挖矿木马,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高,不法分子瞄准”绝地求生”玩家电脑,相当于找到了“绝佳”的挖矿机器。经分析,已确定该挖矿木马名为 tlMiner,由一游戏辅助团队投放,目前已影响了数十万台用户机器。
绝地求生小辅助启动流程:
original="http://image.3001.net/images/20180102/15148645496300.png!small" data-image-enhancer="larger than 645" />
(HSR 币,网上戏称为“红烧肉”币,是一种新的去中心化、开源、跨系统的数字加密货币,具有双重侧链,同时兼容区块链和 DAG 两种分布式系统,HSR 于今年 6 月完成 ICO,8 月 20 日上线中国比特币交易平台,目前交易价格接近 200 人民币,且仍在上涨;与比特币类似,HSR 币数量也是固定的,总量大约为 8400 万)
0×2 详细分析
这款辅助采用易语言编写,包含辅助主程序,依赖库以及白利用文件 tlwgft.dat。
主程序加了 4 层壳:两层 upx 压缩,一层简单的加密壳,以及部分 VM 代码。其中解密算法也被混淆,以此对抗反编译。
被解密的代码每 4 字节为一组,与 0Xc2e22c1c 做减法即可解密。
辅助启动后会拷贝系统的白文件,覆盖到当前目录 tlwgft.dat,默认拷贝 mshat.exe。如果拷贝失败,则从内置列表依次拷贝,可被利用的系统文件列表如下:
拷贝完毕则启动 tlwgft.dat 进程,主程序内置一个 PE 文件 mgr.exe,利用内存加载方式替换 tlwgfz 的内存为 mgr,替换时会刻意抹掉 PE 头,以对抗内存 dump。tlwgft 此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。
主程序启动后,联网访问一份进程列表。
这是一份木马的进程检查黑名单,大部分是安全类软件,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件。
辅助主界面:
辅助开启后,从服务器拉取配置文件,目前已知该辅助有 3 个服务器:
下载后解压文件,是辅助的一些功能配置文件。
拉取完辅助配置文件,会从服务器拉取挖矿程序 pubghsr.exe。
下载成功后 Pubghsr 被释放在c:\windows\system\wininit.exe,并设置为开机启动。
程序基于 ccMiner 2.0 开源挖矿程序,ccMiner 是基于 NVIDIA GPU 的挖矿程序,兼容 windows,Linux,目前支持包括 bitcoin 、HSR、Sibcoin 在内的 58 种虚拟币的挖掘。
目前该挖矿木马专门挖取 HSR 币,以目前的交易价格,1 算力每天可获得人民币 2.014 元。
由于个体挖矿产出能力有限,很可能颗粒无收,该木马会借助矿池挖矿,已连接矿池地址:
hcash.uupool.cn: 双优矿池,用户名为 tlwg.TCCS3
hcash-shanghai.globalpool.cc: 新星上海矿池,tlwg.PUBG
矿池作为一个平台,所有有计算能力的机器都可以参与挖矿,若获得奖励,则按其机器的算力高低分配。目前 HSR 币的产量大概每天 624.93 个。
HSR 币从 12 月 15 号价格开始上涨,目前交易价格为人民币 174 元,且还在上涨。
0×3 溯源
该辅助工具虽然存在已久,但此次发现的挖矿木马是在 12 月 8 号辅助新版发布后才开始植入辅助工具。从传播趋势看,该木马从 12 月 8 号开始影响用户机器,并在 12 月 20 号达到最高峰值,仅 20 号当天就有近 20 万台机器受到该挖矿木马影响。
该辅助程序在 12 月 22 日晚宣布停用。
但巨大的利益驱使不法分子在 12 月 25 号重新开放辅助及挖矿功能。
根据留下的社交群号码,找到多个超级群,且这些超级群也都是满员状态。
从创建日期看,有些是挖矿木马投放当天创建的。
根据社交群文件找到辅助的下载地址:
打开后得到网盘下载地址,在该资源目录下,发现除了绝地求生辅助,还有其它加速器破解版。
经验证,该加速器同样被植入挖矿木马:
已知这两款程序是由某网吧联盟团队开发,在 BBS 上也可以发现绝地求生小辅助,而且下载量也过万。
进入其工会频道,频道内 24 小时机器人喊话推广这款辅助,公告上也提示用户卸载掉杀毒软件。
此外,下载站也在疯狂传播该辅助程序。经分析,网上搜索“吃鸡”、“绝地求生”等关键词,在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知,仅通过该下载器下载辅助的人次就已高达 10 万。
0×4 安全建议
1、 开启系统自动更新,及时打补丁,防止恶意木马利用;
2、 服务器避免使用弱口令,不给不法分子可乘之机;
3、 机器卡慢时应立即查看 CPU 使用情况,若发现可疑进程可及时关闭;
4、 不浏览色情、辅助等被标记为不可信的网站;
5、 不使用辅助及来路不明的软件,使用软件前先用安全软件进行扫描,使用腾讯电脑管家拦截查杀该类挖矿木马。
*本文作者:腾讯电脑管家,转载请注明来自 FreeBuf.COM