絕地求生小輔助啟動流程:
(HSR幣,網上戲稱為“紅燒肉”幣,是一種新的去中心化、開源、跨系統的數字加密貨幣,具有雙重側鏈,同時相容區塊鏈和DAG兩種分散式系統,HSR於今年6月完成ICO,8月20日上線中國比特幣交易平臺,目前交易價格接近200人民幣,且仍在上漲;與比特幣類似,HSR幣數量也是固定的,總量大約為8400萬)
這款輔助採用易語言編寫,包含輔助主程式,依賴庫以及白利用檔案tlwgft.dat。
0×2 詳細分析
主程式加了4層殼:兩層upx壓縮,一層簡單的加密殼,以及部分VM程式碼。其中解密演算法也被混淆,以此對抗反編譯。
被解密的程式碼每4位元組為一組,與0Xc2e22c1c做減法即可解密。
輔助啟動後會複製系統的白檔案,覆蓋到當前目錄tlwgft.dat,預設複製mshat.exe。如果複製失敗,則從內建列表依次複製,可被利用的系統檔案列表如下:
複製完畢則啟動tlwgft.dat程序,主程式內建一個PE檔案mgr.exe,利用記憶體載入方式替換tlwgfz的記憶體為mgr,替換時會刻意抹掉PE頭,以對抗記憶體dump。tlwgft此時屬於輔助主介面程式,負責輔助的更新,模組投放,以及挖礦木馬投放。
主程式啟動後,聯網訪問一份程序列表。
這是一份木馬的程序檢查黑名單,大部分是安全類軟體,如果本機有以下程序在執行,則提示使用者關閉或解除安裝這些軟體。
輔助主介面:
輔助開啟後,從伺服器拉取配置檔案,目前已知該輔助有3個伺服器:
下載後解壓檔案,是輔助的一些功能配置檔案。
拉取完輔助配置檔案,會從伺服器拉取挖礦程式pubghsr.exe。
下載成功後Pubghsr被釋放在c:\windows\system\wininit.exe,並設定為開機啟動。
程式基於ccMiner 2.0開源挖礦程式,ccMiner是基於NVIDIA GPU的挖礦程式,相容windows,Linux,目前支援包括bitcoin 、HSR、Sibcoin 在內的58種虛擬幣的挖掘。
目前該挖礦木馬專門挖取HSR幣,以目前的交易價格,1算力每天可獲得人民幣2.014元。
由於個體挖礦產出能力有限,很可能顆粒無收,該木馬會藉助礦池挖礦,已連線礦池地址:
hcash.uupool.cn: 雙優礦池,使用者名稱為tlwg.TCCS3
hcash-shanghai.globalpool.cc: 新星上海礦池,tlwg.PUBG
礦池作為一個平臺,所有有計算能力的機器都可以參與挖礦,若獲得獎勵,則按其機器的算力高低分配。目前HSR幣的產量大概每天624.93個。
HSR幣從12月15號價格開始上漲,目前交易價格為人民幣174元,且還在上漲。
該輔助工具雖然存在已久,但此次發現的挖礦木馬是在12月8號輔助新版釋出後才開始植入輔助工具。從傳播趨勢看,該木馬從12月8號開始影響使用者機器,並在12月20號達到最高峰值,僅20號當天就有近20萬臺機器受到該挖礦木馬影響。
0×3 溯源
該輔助程式在12月22日晚宣佈停用。
但巨大的利益驅使不法分子在12月25號重新開放輔助及挖礦功能。
根據留下的社交群號碼,找到多個超級群,且這些超級群也都是滿員狀態。
從建立日期看,有些是挖礦木馬投放當天建立的。
根據社交群檔案找到輔助的下載地址: 開啟後得到網盤下載地址,在該資源目錄下,發現除了絕地求生輔助,還有其它加速器破解版。 經驗證,該加速器同樣被植入挖礦木馬: 已知這兩款程式是由某網咖聯盟團隊開發,在BBS上也可以發現絕地求生小輔助,而且下載量也過萬。 進入其工會頻道,頻道內24小時機器人喊話推廣這款輔助,公告上也提示使用者解除安裝掉防毒軟體。 此外,下載站也在瘋狂傳播該輔助程式。經分析,網上搜尋“吃雞”、“絕地求生”等關鍵詞,在搜尋頁面置頂的下載站輔助程式同樣攜帶挖礦木馬。從圖可知,僅透過該下載器下載輔助的人次就已高達10萬。
0×4 安全建議
1、 開啟系統自動更新,及時打補丁,防止惡意木馬利用;
2、 伺服器避免使用弱口令,不給不法分子可乘之機;
3、 機器卡慢時應立即檢視CPU使用情況,若發現可疑程序可及時關閉;
4、 不瀏覽色情、輔助等被標記為不可信的網站;
5、 不使用輔助及來路不明的軟體,使用軟體前先用安全軟體進行掃描,使用騰訊電腦管家攔截查殺該類挖礦木馬。
*本文作者:騰訊電腦管家,轉載請註明來自FreeBuf.COM
