《絕地求生》游戲輔助程序內(nèi)藏挖礦木馬
《絕地求生》游戲輔助外掛程序內(nèi)藏挖礦木馬,騰訊電腦管家近日捕獲的 HSR 幣挖礦木馬,隱藏在“絕地求生”輔助程序中,而由于“絕地求生”對電腦性能要求較高,不法分子瞄準”絕地求生”玩家電腦,相當于找到了“絕佳”的挖礦機器。經(jīng)分析,已確定該挖礦木馬名為 tlMiner,由一游戲輔助團隊投放,目前已影響了數(shù)十萬臺用戶機器。
小心《絕地求生》游戲輔助程序內(nèi)藏挖礦木馬
據(jù)了解,HSR 幣,網(wǎng)上戲稱為“紅燒肉”幣,是一種新的去中心化、開源、跨系統(tǒng)的數(shù)字加密貨幣,具有雙重側(cè)鏈,同時兼容區(qū)塊鏈和 DAG 兩種分布式系統(tǒng),HSR 于今年 6 月完成 ICO,8 月 20 日上線中國比特幣交易平臺,目前交易價格接近 200 人民幣,且仍在上漲;與比特幣類似,HSR 幣數(shù)量也是固定的,總量大約為 8400 萬。這款輔助采用易語言編寫,包含輔助主程序,依賴庫以及白利用文件 tlwgft.dat,主程序加了 4 層殼:兩層 upx 壓縮,一層簡單的加密殼,以及部分 VM 代碼。其中解密算法也被混淆,以此對抗反編譯。被解密的代碼每 4 字節(jié)為一組,與 0Xc2e22c1c 做減法即可解密。 輔助啟動后會拷貝系統(tǒng)的白文件,覆蓋到當前目錄 tlwgft.dat,默認拷貝 mshat.exe。
拷貝完畢則啟動 tlwgft.dat 進程,主程序內(nèi)置一個 PE 文件 mgr.exe,利用內(nèi)存加載方式替換 tlwgfz 的內(nèi)存為 mgr,替換時會刻意抹掉 PE 頭,以對抗內(nèi)存 dump。tlwgft 此時屬于輔助主界面程序,負責(zé)輔助的更新,模塊投放,以及挖礦木馬投放。 主程序啟動后,聯(lián)網(wǎng)訪問一份進程列表。下載成功后 Pubghsr 被釋放在c:\windows\system\wininit.exe,并設(shè)置為開機啟動。 程序基于 ccMiner 2.0 開源挖礦程序,ccMiner 是基于 NVIDIA GPU 的挖礦程序,兼容 windows,Linux,目前支持包括 bitcoin 、HSR、Sibcoin 在內(nèi)的 58 種虛擬幣的挖掘。 目前該挖礦木馬專門挖取 HSR 幣,以目前的交易價格,1 算力每天可獲得人民幣 2.014 元。該輔助工具雖然存在已久,但此次發(fā)現(xiàn)的挖礦木馬是在 12 月 8 號輔助新版發(fā)布后才開始植入輔助工具。從傳播趨勢看,該木馬從 12 月 8 號開始影響用戶機器,并在 12 月 20 號達到最高峰值,僅 20 號當天就有近 20 萬臺機器受到該挖礦木馬影響。
對此,騰訊電腦管家建議玩家:
1、 開啟系統(tǒng)自動更新,及時打補丁,防止惡意木馬利用;
2、 服務(wù)器避免使用弱口令,不給不法分子可乘之機;
3、 機器卡慢時應(yīng)立即查看 CPU 使用情況,若發(fā)現(xiàn)可疑進程可及時關(guān)閉;
4、 不瀏覽色情、輔助等被標記為不可信的網(wǎng)站;
5、 不使用輔助及來路不明的軟件,使用軟件前先用安全軟件進行掃描,使用騰訊電腦管家攔截查殺該類挖礦木馬。
延伸閱讀:《絕地求生》游戲
《絕地求生》是Bluehole與《H1Z1》、《武裝突襲3》“大逃殺”模式制作人Playerunknown聯(lián)合開發(fā)的第三人稱射擊游戲,采用虛幻4引擎制作,游戲登陸PC/XBOX1平臺,游戲于2017年12月21日正式發(fā)行。 該游戲是一款大逃殺類型的游戲,玩家需要在島上收集各種資源,在不斷縮小的安全區(qū)域內(nèi)對抗其他玩家,讓自己生存到最后。游戲在中國由騰訊游戲獨家代理運營 。《絕地求生》除獲得G-STAR最高獎項總統(tǒng)獎以及其他五項大獎,還打破了7項吉尼斯紀錄。
每一局游戲?qū)⒂?00名玩家參與,他們將被投放在絕地島的上空,游戲開始跳傘時所有人都一無所有。 游戲展開的方式是:玩家赤手空拳地分布在島嶼的各個角落,利用島上多樣的武器與道具。隨著時間的流逝,島上的安全地帶越來越少,特定地區(qū)也會發(fā)生爆炸的情況,最終只有一人/一隊存活獲得勝利。 游戲的每一局比賽都會隨機轉(zhuǎn)換安全區(qū),并且每個區(qū)域獲得的武器、道具均是隨機出現(xiàn)。這樣玩家的很新鮮與緊張感會更加強烈。
掃二維碼手機查看該文章