0x1 概述

数字货币“挖矿”， 通俗讲就是猜数字求解，猜对即可获得数字货币奖励。目前已知的数字货币约有100多种，包括比特币、莱卡币、门罗币等常见类型，并且近年来其价格呈快速增长趋势。以比特币为例，目前1比特币价格为14841美元，折合人民币97140元；而在2017年年初1比特币价格仅为1000美元，在短短的一年内其价格上涨十几倍。巨大的利润吸引越来越多的挖矿者投入更多的计算资源挖矿，并将算盘打到广大网友头上。

腾讯电脑管家近日捕获的HSR币挖矿木马，隐藏在“绝地求生”辅助程序中，而由于“绝地求生”对电脑性能要求较高，不法分子瞄准”绝地求生”玩家电脑，相当于找到了“绝佳”的挖矿机器。经分析，已确定该挖矿木马名为tlMiner，由一游戏辅助团队投放，目前已影响了数十万台用户机器。

绝地求生小辅助启动流程：

（HSR币，网上戏称为“红烧肉”币，是一种新的去中心化、开源、跨系统的数字加密货币，具有双重侧链，同时兼容区块链和DAG两种分布式系统，HSR于今年6月完成ICO，8月20日上线中国比特币交易平台，目前交易价格接近200人民币，且仍在上涨；与比特币类似，HSR币数量也是固定的，总量大约为8400万）

0x2 详细分析

这款辅助采用易语言编写，包含辅助主程序，依赖库以及白利用文件tlwgft.dat。

主程序加了4层壳：两层upx压缩，一层简单的加密壳，以及部分VM代码。其中解密算法也被混淆，以此对抗反编译。

被解密的代码每4字节为一组，与0Xc2e22c1c做减法即可解密。

辅助启动后会拷贝系统的白文件，覆盖到当前目录tlwgft.dat，默认拷贝mshat.exe。如果拷贝失败，则从内置列表依次拷贝，可被利用的系统文件列表如下：

拷贝完毕则启动tlwgft.dat进程，主程序内置一个PE文件mgr.exe，利用内存加载方式替换tlwgfz的内存为mgr，替换时会刻意抹掉PE头，以对抗内存dump。tlwgft此时属于辅助主界面程序，负责辅助的更新，模块投放，以及挖矿木马投放。

主程序启动后，联网访问一份进程列表。

这是一份木马的进程检查黑名单，大部分是安全类软件，如果本机有以下进程在运行，则提示用户关闭或卸载这些软件。

辅助主界面：

辅助开启后，从服务器拉取配置文件，目前已知该辅助有3个服务器：

下载后解压文件，是辅助的一些功能配置文件。

拉取完辅助配置文件，会从服务器拉取挖矿程序pubghsr.exe。

下载成功后Pubghsr被释放在c:\windows\system\wininit.exe，并设置为开机启动。

程序基于ccMiner 2.0开源挖矿程序，ccMiner是基于NVIDIA GPU的挖矿程序，兼容windows，Linux，目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘。

目前该挖矿木马专门挖取HSR币，以目前的交易价格，1算力每天可获得人民币2.014元。

由于个体挖矿产出能力有限，很可能颗粒无收，该木马会借助矿池挖矿，已连接矿池地址：

hcash.uupool.cn： 双优矿池，用户名为tlwg.TCCS3

hcash-shanghai.globalpool.cc： 新星上海矿池，tlwg.PUBG

矿池作为一个平台，所有有计算能力的机器都可以参与挖矿，若获得奖励，则按其机器的算力高低分配。目前HSR币的产量大概每天624.93个。

HSR币从12月15号价格开始上涨，目前交易价格为人民币174元，且还在上涨。

0x3 溯源

该辅助工具虽然存在已久，但此次发现的挖矿木马是在12月8号辅助新版发布后才开始植入辅助工具。从传播趋势看，该木马从12月8号开始影响用户机器，并在12月20号达到最高峰值，仅20号当天就有近20万台机器受到该挖矿木马影响。

该辅助程序在12月22日晚宣布停用。

但巨大的利益驱使不法分子在12月25号重新开放辅助及挖矿功能。

根据留下的社交群号码，找到多个超级群，且这些超级群也都是满员状态。

从创建日期看，有些是挖矿木马投放当天创建的。

根据社交群文件找到辅助的下载地址：

打开后得到网盘下载地址，在该资源目录下，发现除了绝地求生辅助，还有其它加速器破解版。

经验证，该加速器同样被植入挖矿木马：

已知这两款程序是由某网吧联盟团队开发，在BBS上也可以发现绝地求生小辅助，而且下载量也过万。

进入其工会频道，频道内24小时机器人喊话推广这款辅助，公告上也提示用户卸载掉杀毒软件。

此外，下载站也在疯狂传播该辅助程序。经分析，网上搜索“吃鸡”、“绝地求生”等关键词，在搜索页面置顶的下载站辅助程序同样携带挖矿木马。从图可知，仅通过该下载器下载辅助的人次就已高达10万。

0x4 腾讯电脑管家协助警方破获特大非法控制计算机系统案

近期，潍坊市公安局网安支队会同青州市公安局在公安部、省公安厅指导下，在腾讯守护者计划安全团队协助下，按照公安部和省公安厅“净网2018专项行动”部署要求，成功破获部督“1.03”特大非法控制计算机信息系统案，目前抓获犯罪嫌疑人20名，取保候审11名，批捕9名。

经查，大连昇平网络科技有限公司研发挖矿监控软件、集成挖矿程序后，通过发展下线代理，非法控制了全国389余万台电脑主机做广告增值收益，在100多万台电脑主机静默安装挖矿程序。两年期间共挖取DGB币（“极特币”）、DCR币（“德赛币”）、SC（“云产币”）币2600余万枚，共非法获利1500余万元。

0x5 安全建议

1、 开启系统自动更新，及时打补丁，防止恶意木马利用；

2、 服务器避免使用弱口令，不给不法分子可乘之机；

3、 机器卡慢时应立即查看CPU使用情况，若发现可疑进程可及时关闭；

4、 不浏览色情、辅助等被标记为不可信的网站；

5、 不使用辅助及来路不明的软件，使用软件前先用安全软件进行扫描，使用腾讯电脑管家拦截查杀该类挖矿木马。

*本文作者：腾讯电脑管家，转载请注明来自FreeBuf.COM