亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

0x1 概述

數(shù)字加密貨幣誕生至今已9個年頭，已累計發(fā)行幣種超過1600款，而挖礦木馬偏愛的幣種并不多，主要原因除了大多數(shù)是空氣幣，不值得病毒作者去浪費電，另一個原因是很多數(shù)字加密貨幣在普通PC機上無法挖礦，需要使用專業(yè)礦機，如大家熟知的比特幣，需專業(yè)的ASIC礦機挖掘。

近日，騰訊御見威脅情報中心感知到一款專門挖取VIT幣的木馬，VIT英文全稱Viralium Coin，中文稱“維特活力幣”，不同于使用CryptoBight算法的數(shù)字加密貨幣，VIT僅能使用CPU挖礦。

注：這個“維特活力幣”的縮寫VIT，跟著名成人雜志《花花公子》發(fā)行的數(shù)字加密幣同名，但二者并不是一回事。

520Miner挖礦木馬不再挑剔電腦硬件，只要有CPU就能挖礦，也就是說所有個人PC機都能參與，即使沒有高配顯卡也沒問題。

騰訊御見威脅情報中心通過對520Miner礦工木馬投放團隊的追蹤，發(fā)現(xiàn)該團隊已玩幣上癮：從最初的古玩幣，升級到VIT虛擬幣（維特活力幣），520Miner挖礦團伙主要利用游戲外掛傳播挖礦木馬，監(jiān)測數(shù)據(jù)表明，該挖礦木馬雖然上線沒幾天，但其影響范圍快速攀升，已影響數(shù)千臺機器。

0x2 詳細分析

目前發(fā)現(xiàn)520Miner挖礦木馬主要藏在毀滅者2游戲輔助中傳播，從文件名來看，輔助已經(jīng)更新至v5.5版本，也是從該版本被植入挖礦木馬。

壓縮包中d3dcompiler_43.dll屬輔助的功能模塊，負責(zé)注入游戲進程，實現(xiàn)輔助功能，程序名及版本信息偽裝成系統(tǒng)D3D文件：

d3dcompiler_43.dll內(nèi)置PE包含關(guān)系圖：

同時，該dll也對外導(dǎo)出挖礦接口wk

輔助啟動后會調(diào)用wk接口，會釋放RtkNGUI32.exe到temp目錄，RtkNGUI32.exe內(nèi)置在dll中，負責(zé)投放礦機

RtkNGUI32.exe屬于自解壓格式，包含了礦機的啟動腳本以及礦機程序，這些文件被釋放到c:\windows\debug\wk\目錄下

輔助每次啟動會釋放520.vbs，vbs負責(zé)啟動礦機，因此木馬取名“520Miner”。

x.vbs被注冊為一個wmi啟動程序，負責(zé)復(fù)活挖礦木馬，提升木馬存活概率。

USB64.exe屬于礦機程序，礦機基于cpuminer 1.3.4開源礦機

0x3?溯源分析

在外掛的使用說明中留下了作者的社交號碼

通過搜索可知，投放挖礦木馬的是廣州天河區(qū)一個古玩交易團伙。

木馬投放者社交帳號資料：

團伙其他成員：

木馬使用的礦池：stratum+tcp://hash4.life:3233

錢包地址：VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1

從收益來看，木馬總共挖取67枚，都是近幾天挖到的。這67枚VIT幣值多少錢呢？騰訊安全專家?guī)筒《咀髡咚懔讼拢坏揭幻X人民幣。你沒看錯，是真的，這個520Miner挖礦木馬，感染了幾千臺計算機，折騰好幾天，一共還沒掙到一毛錢人民幣。

沒有對比就沒有傷害，再回頭看挖礦木馬PhotoMiner，PhotoMiner木馬感染肉雞電腦挖門羅幣，兩年時間賺了8900萬人民幣。

0x4 安全建議

在游戲外掛（輔助程序）中植入挖礦木馬已經(jīng)屢見不鮮，這類木馬利用玩家的高配置電腦挖取加密貨幣，已然成為不法分子挖礦的新方式。

針對日益猖獗的不法挖礦行為，騰訊電腦管家推出“反挖礦防護”功能，可對此類挖礦木馬進行全面攔截。目前該防護功能已覆蓋電腦管家全版本用戶，為用戶攔截并預(yù)警各類挖礦木馬程序和含有挖礦js腳本網(wǎng)頁的運行，確保用戶電腦資源不被侵占，擁有輕快的上網(wǎng)體驗。

相關(guān)鏈接：

《絕地求生》輔助程序暗藏挖礦木馬 http://www.freebuf.com/news/158892.html

上百款《荒野行動》游戲輔助被植入挖礦木馬 http://www.freebuf.com/column/164354.html

0x5 IOCs：

Md5：

be1800ea8228a09845bac7f541b14862

5cab23efe86356cb54bfb14f3148ba21

93e0bd3f0206e55124efcec0db8dccc1

78e5caa34f248ff7ce79060195062788

錢包地址：

VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1

騰訊御見威脅情報中心向您推薦以下方案防御可能的安全威脅：

御界高級威脅檢測系統(tǒng)

——可高效檢測未知威脅，并通過對企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。

御界防APT郵件網(wǎng)關(guān)

——可迅速識別APT攻擊郵件、釣魚郵件、病毒木馬附件、漏洞利用附件等威脅

御點終端安全管理系統(tǒng)

——可有效防御針對企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊。具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，防御策略統(tǒng)一管控等安全管理功能

御知網(wǎng)絡(luò)空間風(fēng)險雷達

——對企業(yè)的網(wǎng)絡(luò)設(shè)備及應(yīng)用服務(wù)的可用性、安全性與合規(guī)性進行定期的安全掃描，持續(xù)性風(fēng)險預(yù)警和漏洞檢測，并且為企業(yè)提供專業(yè)的修復(fù)建議， 保障企業(yè)免受財產(chǎn)損失。

御見智能態(tài)勢感知平臺

——基于對設(shè)備、網(wǎng)絡(luò)和環(huán)境的持續(xù)、深層的監(jiān)控、分析來構(gòu)建融合了防御、檢測、響應(yīng)溯源和預(yù)測的全生命周期威脅應(yīng)對機制，通過可視化告知用戶、引導(dǎo)用戶進行威脅處置和后續(xù)的主動防御。

更多騰訊企業(yè)安全解決方案的相關(guān)資料，或申請產(chǎn)品試用，可聯(lián)系騰訊安全專家饒帥（raymondrao#tencent.com，郵件請將#替換為@）

騰訊御見威脅情報中心誠邀各路英豪加盟，一起為捍衛(wèi)國家網(wǎng)絡(luò)安全貢獻力量。