请选择 进入手机版 | 继续访问电脑版

不学网

 找回密码
 加入不学网

只需一步,快速开始

手机号码,快捷登录

查看: 679|回复: 0

绝地求生辅助暗藏“挖矿”木马 数十万台电脑已中招!

[复制链接]

27

主题

41

帖子

6825

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
6825
发表于 2018-1-18 22:13:57 | 显示全部楼层 |阅读模式
昨日,“腾讯电脑管家”发文称在《绝地求生》辅助程序中捕获到了“HSR币挖矿”木马病毒。或许不少玩家对“HSR币”这个名字会有些陌生,文中也同时科普了它的相关信息。

1.JPEG
今天中午,“腾讯游戏安全中心”官博也转发了这一消息:
2.JPEG
关于“HSR币”科普:
HSR币,网上戏称为“红烧肉”币,是一种新的去中心化、开源、跨系统的数字加密货币,具有双重侧链,同时兼容区块链和DAG两种分布式系统,HSR于今年6月完成ICO,8月20日上线中国比特币交易平台,目前交易价格接近200人民币,且仍在上涨;与比特币类似,HSR币数量也是固定的,总量大约为8400万。
目前腾讯方面已经确定该木马名为“tlMiner”,是一款由游戏辅助团队投放,目前已经影响了数十万台用户机器的木马,同时还公布了它的分析详情:
这款辅助采用易语言编写,包含辅助主程序,依赖库以及白利用文件tlwgft.dat。


3.JPEG

主程序加了4层壳:两层upx压缩,一层简单的加密壳,以及部分VM代码。其中解密算法也被混淆,以此对抗反编译。


4.JPEG

被解密的代码每4字节为一组,与0Xc2e22c1c做减法即可解密。


5.JPEG

辅助启动后会拷贝系统的白文件,覆盖到当前目录tlwgft.dat,默认拷贝mshat.exe。如果拷贝失败,则从内置列表依次拷贝,可被利用的系统文件列表如下:

6.JPEG

拷贝完毕则启动tlwgft.dat进程,主程序内置一个PE文件mgr.exe,利用内存加载方式替换tlwgfz的内存为mgr,替换时会刻意抹掉PE头,以对抗内存dump。tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。
主程序启动后,联网访问一份进程列表。


7.JPEG

这是一份木马的进程检查黑名单,大部分是安全类软件,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件。
辅助主界面:


8.JPEG

根据报告中显示,该辅助工具早已存在,但被检测出挖矿木马程序则是在12月8日发布新版本之后的事。从传播趋势图来看,该木马从12月8日开始影响用户机器,并在12月20日时达到最高峰,仅仅在20号一日按内就有将近20万台机器受影响。

9.JPEG

在腾讯宣布代理国服后不久,该辅助程序曾经在12月22日晚宣布停止运营:

10.JPEG

但出于利益驱使,在12月25日这款软件重新开放辅助(挖矿)功能,而此前在公告中留下的“交流群”也大多处于满员状态:

11.JPEG

12.JPEG

如果说到这里还有小伙伴不理解电脑安装了挖矿木马后的危害,小编在这里科普一下:
在电脑被植入了挖矿木马后就会开始与远方服务器通讯并运行特定算法试图获得比特币,由于这样的算法非常烧显卡,因此长期处于满负载工作状态下的显卡老化速度会加速几倍甚至几十倍,影响其正常使用寿命。对于那些平时段时间离开不喜欢关电脑而是选择待机的小伙伴来说,这种情况会更严重。


13.JPEG



失败是什么?没有什么,只是更走近成功一步;成功是什么?就是走过了所有通向失败的路,只剩下一条路,那就是成功的路。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入不学网

本版积分规则

QQ|手机版|小黑屋|不学网

GMT+8, 2018-2-18 05:30

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表