史上最能穷折腾的挖矿木马“520Miner”:控制数千台机器挖矿,却一毛钱都没挣到

腾讯御见威胁情报中心感知到一款名为“520Miner”的挖矿木马,专门挖取VIT币。该木马利用游戏外挂传播,上线后短短数天内已影响数千台机器。但从收益来看,木马总共挖取67枚VIT币,总价值不到一毛钱人民币。

0×1 概述

数字加密货币诞生至今已9个年头,已累计发行币种超过1600款,而挖矿木马偏爱的币种并不多,主要原因除了大多数是空气币,不值得病毒作者去浪费电,另一个原因是很多数字加密货币在普通PC机上无法挖矿,需要使用专业矿机,如大家熟知的比特币,需专业的ASIC矿机挖掘。

近日,腾讯御见威胁情报中心感知到一款名为“520Miner”的挖矿木马,专门挖取VIT币。VIT英文全称Vitality Coin,中文称“维特活力币”,不同于使用CryptoBight算法的数字加密货币,VIT仅能使用CPU挖矿。

注:这个“维特活力币”的缩写VIT,跟著名成人杂志《花花公子》发行的数字加密币同名,但二者并不是一回事。

520Miner挖矿木马不再挑剔电脑硬件,只要有CPU就能挖矿,也就是说所有个人PC机都能参与,即使没有高配显卡也没问题。

腾讯御见威胁情报中心通过对520Miner矿工木马投放团队的追踪,发现该团队已玩币上瘾:从最初的古玩币,升级到VIT虚拟币(维特活力币),520Miner挖矿团伙主要利用游戏外挂传播挖矿木马,监测数据表明,该挖矿木马虽然上线没几天,但其影响范围快速攀升,已影响数千台机器。

1.png

0×2 详细分析

目前发现该挖矿木马主要藏在毁灭辅助中传播,从文件名来看,辅助已经更新至v5.5版本,也是从该版本被植入挖矿木马。

2.png

压缩包中d3dcompiler_43.dll属辅助的功能模块,负责注入游戏进程,实现辅助功能,程序名及版本信息伪装成系统D3D文件:

3.png

d3dcompiler_43.dll内置PE包含关系图:

4.png

同时,该dll也对外导出挖矿接口wk

5.png

辅助启动后会调用wk接口,会释放RtkNGUI32.exe到temp目录,RtkNGUI32.exe内置在dll中,负责投放矿机

6.png

RtkNGUI32.exe属于自解压格式,包含了矿机的启动脚本以及矿机程序,这些文件被释放到c:\windows\debug\wk\目录下

7.png

辅助每次启动会释放520.vbs,vbs负责启动矿机,此木马取名“520Miner”。

8.png

x.vbs被注册为一个wmi启动程序,负责复活挖矿木马,提升木马存活概率。

9.png

USB64.exe属于矿机程序,矿机基于cpuminer 1.3.4开源矿机

10.png

0×3 溯源分析

在外挂的使用说明中留下了作者的社交号码

11.png

通过搜索可知,投放挖矿木马的是广州天河区一个古玩交易团伙。

12.png

木马投放者社交帐号资料:

13.png

团伙其他成员:

14.png

木马使用的矿池:stratum+tcp://hash4.life:3233

钱包地址:VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1

钱包收益情况:

16.png

从收益来看,木马总共挖取67枚VIT币,总价值不到一毛钱人民币,都是近几天挖到的。

收益算法如下:

最新汇率:1VIT=0.000001397BTC,1比特币=9431.6美元,1美元=6.36人民币。

67VIT=0.000093599个比特币=0.0131759452美元=0.08人民币

0×4 安全建议

在外挂辅助中植入挖矿木马已经屡见不鲜,这类木马利用玩家的高配置电脑挖取加密货币,已然成为不法分子挖矿的新方式。

针对日益猖獗的不法挖矿行为,腾讯电脑管家推出“反挖矿防护”功能,可对此类挖矿木马进行全面拦截。目前该防护功能已覆盖电脑管家全版本用户,为用户拦截并预警各类挖矿木马程序和含有挖矿js脚本网页的运行,确保用户电脑资源不被侵占,拥有轻快的上网体验。

15.png

相关链接:

1. 《绝地求生》辅助程序暗藏挖矿木马

http://www.freebuf.com/news/158892.html

2. 上百款《荒野行动》游戏辅助被植入挖矿木马

http://www.freebuf.com/column/164354.html

3. PhotoMiner木马挖矿收入8900万 已成门罗币“黄金矿工”

http://www.freebuf.com/column/170097.html

IOSc:

Md5:

be1800ea8228a09845bac7f541b14862

5cab23efe86356cb54bfb14f3148ba21

93e0bd3f0206e55124efcec0db8dccc1

78e5caa34f248ff7ce79060195062788

payaddress:

VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1

1

取消
Loading...

相关推荐

css.php