欢迎来到

绝地求生外挂软件含挖矿木马 你还敢开挂吗  ?

时间:2024-12-23 14:26:20 出处:产品中心阅读(143)

在腾讯宣布即将代理绝地求生大逃杀中国区之后,绝地绝地求生的求生游戏环境就变得日益糟糕了  ,开挂者一天比一天多 ,外挂听说离腾讯代理的软件日子越近  ,买挂的含挖价格就越来越便宜,但是矿木今日有报道发现 ,绝地求生外挂辅助软件中含挖矿木马程序,马还下面会给出详细报道,敢开挂吃鸡的绝地玩家注意查看 。

“绝地求生”辅助程序带挖矿木马

数字货币“挖矿” ,求生 通俗讲就是外挂猜数字求解 ,猜对即可获得数字货币奖励 。软件目前已知的含挖数字货币约有100多种 ,包括比特币、矿木莱卡币 、马还门罗币等常见类型,并且近年来其价格呈快速增长趋势。以比特币为例,目前1比特币价格为14841美元,折合人民币97140元;而在2017年年初1比特币价格仅为1000美元  ,在短短的一年内其价格上涨十几倍 。巨大的利润吸引越来越多的挖矿者投入更多的计算资源挖矿 ,并将算盘打到广大网友头上。腾讯电脑管家近日捕获的HSR币挖矿木马 ,隐藏在“绝地求生”辅助程序中,而由于“绝地求生”对电脑性能要求较高 ,不法分子瞄准”绝地求生”玩家电脑 ,相当于找到了“绝佳”的挖矿机器。经分析,已确定该挖矿木马名为tlMiner ,由一游戏辅助团队投放 ,目前已影响了数十万台用户机器。

绝地求生小辅助启动流程:

(HSR币 ,网上戏称为“红烧肉”币 ,是一种新的去中心化、开源、跨系统的数字加密货币  ,具有双重侧链 ,同时兼容区块链和DAG两种分布式系统 ,HSR于今年6月完成ICO ,8月20日上线中国比特币交易平台,目前交易价格接近200人民币 ,且仍在上涨;与比特币类似 ,HSR币数量也是固定的 ,总量大约为8400万)

0x2详细分析 :

这款辅助采用易语言编写,包含辅助主程序 ,依赖库以及白利用文件tlwgft.dat。

主程序加了4层壳:两层upx压缩 ,一层简单的加密壳 ,以及部分VM代码。其中解密算法也被混淆 ,以此对抗反编译。

被解密的代码每4字节为一组 ,与0Xc2e22c1c做减法即可解密。

辅助启动后会拷贝系统的白文件,覆盖到当前目录tlwgft.dat  ,默认拷贝mshat.exe  。如果拷贝失败  ,则从内置列表依次拷贝 ,可被利用的系统文件列表如下 :

拷贝完毕则启动tlwgft.dat进程,主程序内置一个PE文件mgr.exe ,利用内存加载方式替换tlwgfz的内存为mgr ,替换时会刻意抹掉PE头,以对抗内存dump 。tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放 ,以及挖矿木马投放 。

主程序启动后 ,联网访问一份进程列表。

这是一份木马的进程检查黑名单,大部分是安全类软件 ,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件 。

辅助主界面 :

辅助开启后  ,从服务器拉取配置文件,目前已知该辅助有3个服务器 :

下载后解压文件,是辅助的一些功能配置文件 。

拉取完辅助配置文件,会从服务器拉取挖矿程序pubghsr.exe。

下载成功后Pubghsr被释放在c:\windows\system\wininit.exe,并设置为开机启动  。

程序基于ccMiner 2.0开源挖矿程序 ,ccMiner是基于NVIDIA GPU的挖矿程序,兼容windows ,Linux ,目前支持包括bitcoin 、HSR 、Sibcoin 在内的58种虚拟币的挖掘。

目前该挖矿木马专门挖取HSR币 ,以目前的交易价格 ,1算力每天可获得人民币2.014元 。

由于个体挖矿产出能力有限,很可能颗粒无收,该木马会借助矿池挖矿,已连接矿池地址:

hcash.uupool.cn : 双优矿池 ,用户名为tlwg.TCCS3

hcash-shanghai.globalpool.cc: 新星上海矿池 ,tlwg.PUBG

矿池作为一个平台 ,所有有计算能力的机器都可以参与挖矿,若获得奖励 ,则按其机器的算力高低分配 。目前HSR币的产量大概每天624.93个。

HSR币从12.15号价格开始上涨,目前交易价格为人民币174元 ,且还在上涨 。

0x3溯源

该辅助工具虽然存在已久,但此次发现的挖矿木马是在12月8号辅助新版发布后才开始植入辅助工具。从传播趋势看,该木马从12月8号开始影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响  。

该辅助程序在12月22日晚宣布停用。

但巨大的利益驱使不法分子在12月25号重新开放辅助及挖矿功能 。

根据留下的社交群号码,找到多个超级群 ,且这些超级群也都是满员状态。

从创建日期看,有些是挖矿木马投放当天创建的 。

根据社交群文件找到辅助的下载地址 :

打开后得到网盘下载地址,在该资源目录下,发现除了绝地求生辅助 ,还有其它加速器破解版 。

经验证 ,该加速器同样被植入挖矿木马 :

已知这两款程序是由某网吧联盟团队开发 ,在BBS上也可以发现绝地求生小辅助,而且下载量也过万。

进入其工会频道,频道内24小时机器人喊话推广这款辅助,公告上也提示用户卸载掉杀毒软件。

此外 ,下载站也在疯狂传播该辅助程序。经分析,网上搜索“吃鸡”、“绝地求生”等关键词 ,在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知,仅通过该下载器下载辅助的人次就已高达10万 。

0x4安全建议

1、开启系统自动更新,及时打补丁,防止恶意木马利用;

2  、服务器避免使用弱口令,不给不法分子可乘之机;

3  、机器卡慢时应立即查看CPU使用情况,若发现可疑进程可及时关闭;

4、不浏览色情、辅助等被标记为不可信的网站;

5、不使用辅助及来路不明的软件,使用软件前先用安全软件进行扫描 ,使用腾讯电脑管家拦截查杀该类挖矿木马 。

分享到:

温馨提示:以上内容和图片整理于网络,仅供参考,希望对您有帮助!如有侵权行为请联系删除!

友情链接: