5304

绝地求生辅助暗藏挖矿木马 数十万电脑中招

  昨日,“腾讯电脑管家”发文称在《绝地求生》辅助程序中捕获到了“HSR币挖矿”木马病毒。或许不少玩家对“HSR币”这个名字会有些陌生,文中也同时科普了它的相关信息。

  今天中午,“腾讯游戏安全中心”官博也转发了这一消息:

  关于“HSR币”科普:

  HSR币,网上戏称为“红烧肉”币,是一种新的去中心化、开源、跨系统的数字加密货币,具有双重侧链,同时兼容区块链和DAG两种分布式系统,HSR于今年6月完成ICO,8月20日上线中国比特币交易平台,目前交易价格接近200人民币,且仍在上涨;与比特币类似,HSR币数量也是固定的,总量大约为8400万。

  目前腾讯方面已经确定该木马名为“tlMiner”,是一款由游戏辅助团队投放,目前已经影响了数十万台用户机器的木马,同时还公布了它的分析详情:

  这款辅助采用易语言编写,包含辅助主程序,依赖库以及白利用文件tlwgft.dat。

  主程序加了4层壳:两层upx压缩,一层简单的加密壳,以及部分VM代码。其中解密算法也被混淆,以此对抗反编译。

  被解密的代码每4字节为一组,与0Xc2e22c1c做减法即可解密。

  辅助启动后会拷贝系统的白文件,覆盖到当前目录tlwgft.dat,默认拷贝mshat.exe。如果拷贝失败,则从内置列表依次拷贝,可被利用的系统文件列表如下:

  拷贝完毕则启动tlwgft.dat进程,主程序内置一个PE文件mgr.exe,利用内存加载方式替换tlwgfz的内存为mgr,替换时会刻意抹掉PE头,以对抗内存dump。tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。

  主程序启动后,联网访问一份进程列表。

  这是一份木马的进程检查黑名单,大部分是安全类软件,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件。

  辅助主界面:

  根据报告中显示,该辅助工具早已存在,但被检测出挖矿木马程序则是在12月8日发布新版本之后的事。从传播趋势图来看,该木马从12月8日开始影响用户机器,并在12月20日时达到最高峰,仅仅在20号一日按内就有将近20万台机器受影响。

  在腾讯宣布代理国服后不久,该辅助程序曾经在12月22日晚宣布停止运营:

  但出于利益驱使,在12月25日这款软件重新开放辅助(挖矿)功能,而此前在公告中留下的“交流群”也大多处于满员状态:

  如果说到这里还有小伙伴不理解电脑安装了挖矿木马后的危害,小编在这里科普一下:

  在电脑被植入了挖矿木马后就会开始与远方服务器通讯并运行特定算法,试图获得比特币,由于这样的算法非常烧显卡,因此长期处于满负载工作状态下的显卡老化速度会加速几倍甚至几十倍,影响其正常使用寿命。对于那些平时段时间离开不喜欢关电脑而是选择待机的小伙伴来说,这种情况会更严重。

[编辑:GEM]
本文由叶子猪游戏新闻中心首发,仅代表发表厂商及作者观点,不代表叶子猪本身观点!

游戏推荐

相关阅读

随便看看