0x1 概述

《绝地求生》、《荒野行动》等枪战竞技游戏对玩家电脑的配置要求较高，这早已不是什么新鲜事，然而“高配置”却容易成为不法分子寻找“绝佳”挖矿机器的重要诱因。2017年12月，腾讯电脑管家发现一款名为tlMiner的挖矿木马藏身《绝地求生》辅助程序中，影响机器量高达数十万台。此外，同期发现的另一款门罗币挖矿木马利用《荒野行动》辅助二次打包程序进行微量传播，并在2月中下旬呈现上涨趋势。

0x2 详细分析

带挖矿木马的辅助文件可大致分割为3个块区:

原始块：储存着原始的辅助PE文件

木马块：两个功能，充当木马的loader也是dropper，内部嵌入挖矿程序cass4.exe

配置块：存储木马辅助所需的参数，主要是名字，偏移，大小，在文件的末尾处，大小为0x70字节。辅助的各个块都使用RC4算法加密，每个块使用不同的密匙：

原始块密匙：{E5A42E7E-8130-4f46-BECC-7E43235496A6}

木马块密匙：{ADAB6D32-3994-40e2-8C18-2F226306408C}

配置块密匙：{F918FE01-164A-4e62-9954-EDC8C3964C1B} 

解密完成后，会依据配置信息把原始辅助及木马释放到temp目录下，并启动程序

其中一辅助界面：

木马启动后设置自身开机启动，启动项名ADSC

木马文件内嵌挖矿程序cass4.exe：

释放并启动cass4.exe，cass4的真身是xmrig

Xmrig是一款基于CPU的门罗币开源挖矿程序，木马使用的是xmrig 2.1版本，cass4参数

木马所用矿池为皮皮虾矿池华东一区：

0x3 溯源

溯源发现这些挖矿木马大部分都由《荒野行动》辅助释放，种类多达上百款，部分辅助名单：

对各个辅助进行分析，发现它们如下特点：

不同点：

1、 作者QQ不相同

2、 推广Q群不同

相同点：

1、 辅助全部使用易语言开发

2、 辅助都带有透视功能

3、 文件区块分布相同：原始块+木马块+配置块

4、 解密算法及密匙相同

5、 矿池信息相同

目前这些被二次打包的辅助主要在社交群、网盘传播

0x4 安全建议

在辅助程序中植入挖矿木马，利用玩家的高配置电脑挖取加密货币，已然成为不法分子挖矿的新方式。针对日益猖獗的不法挖矿行为，腾讯电脑管家推出“反挖矿防护”功能，可对此类挖矿木马进行全面拦截。目前该防护功能已覆盖电脑管家全版本用户，为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行，确保用户电脑资源不被侵占，拥有轻快的上网体验。

相关链接：《绝地求生》辅助程序暗藏挖矿木马