报告中表示,该挖矿木马名为tlMiner,由一游戏辅助团队投放,目前已影响了数十万台用户机器。由于“绝地求生”对电脑性能要求较高,因此成为了不法分子的目标,将玩家电脑变成了“绝佳”的挖矿机器。
根据报告显示,虽然该辅助程序存在已久,但是挖矿木马却是从12月8号辅助程序新版发布后才开始植入其中并影响用户机器,并在12月20号达到最高峰值,仅20号当天就有近20万台机器受到该挖矿木马影响。
报告最后提醒用户,要开启系统更新并及时打补丁,留意可疑进程,不要使用辅助及来路不明的软件。
这款辅助采用易语言编写,包含辅助主程序,依赖库以及白利用文件tlwgft.dat。
主程序加了4层壳:两层upx压缩,一层简单的加密壳,以及部分VM代码。其中解密算法也被混淆,以此对抗反编译。
被解密的代码每4字节为一组,与0Xc2e22c1c做减法即可解密。
辅助启动后会拷贝系统的白文件,覆盖到当前目录tlwgft.dat,默认拷贝mshat.exe。如果拷贝失败,则从内置列表依次拷贝,可被利用的系统文件列表如下:
拷贝完毕则启动tlwgft.dat进程,主程序内置一个PE文件mgr.exe,利用内存加载方式替换tlwgfz的内存为mgr,替换时会刻意抹掉PE头,以对抗内存dump。tlwgft此时属于辅助主界面程序,负责辅助的更新,模块投放,以及挖矿木马投放。
主程序启动后,联网访问一份进程列表。
这是一份木马的进程检查黑名单,大部分是安全类软件,如果本机有以下进程在运行,则提示用户关闭或卸载这些软件。
辅助主界面:
辅助开启后,从服务器拉取配置文件,目前已知该辅助有3个服务器:
下载后解压文件,是辅助的一些功能配置文件。
拉取完辅助配置文件,会从服务器拉取挖矿程序pubghsr.exe。
下载成功后Pubghsr被释放在c:\windows\system\wininit.exe,并设置为开机启动。
程序基于ccMiner 2.0开源挖矿程序,ccMiner是基于NVIDIA GPU的挖矿程序,兼容windows,Linux,目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘。
目前该挖矿木马专门挖取HSR币,以目前的交易价格,1算力每天可获得人民币2.014元。
由于个体挖矿产出能力有限,很可能颗粒无收,该木借助矿池挖矿,已连接矿池地址:
hcash.uupool.cn: 双优矿池,用户名为tlwg.TCCS3
hcash-shanghai.globalpool.cc: 新星上海矿池,tlwg.PUBG
矿池作为一个平台,所有有计算能力的机器都可以参与挖矿,若获得奖励,则按其机器的算力高低分配。目前HSR币的产量大概每天624.93个。
HSR币从12月15号价格开始上涨,目前交易价格为人民币174元,且还在上涨。