亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

0x1 概述

數(shù)字加密貨幣誕生至今已9個(gè)年頭，已累計(jì)發(fā)行幣種超過(guò)1600款，而挖礦木馬偏愛(ài)的幣種并不多，主要原因除了大多數(shù)是空氣幣，不值得病毒作者去浪費(fèi)電，另一個(gè)原因是很多數(shù)字加密貨幣在普通PC機(jī)上無(wú)法挖礦，需要使用專(zhuān)業(yè)礦機(jī)，如大家熟知的比特幣，需專(zhuān)業(yè)的ASIC礦機(jī)挖掘。

近日，騰訊御見(jiàn)威脅情報(bào)中心感知到一款專(zhuān)門(mén)挖取VIT幣的木馬，VIT英文全稱(chēng)Viralium Coin，中文稱(chēng)“維特活力幣”，不同于使用CryptoBight算法的數(shù)字加密貨幣，VIT僅能使用CPU挖礦。

注：這個(gè)“維特活力幣”的縮寫(xiě)VIT，跟著名成人雜志《花花公子》發(fā)行的數(shù)字加密幣同名，但二者并不是一回事。

520Miner挖礦木馬不再挑剔電腦硬件，只要有CPU就能挖礦，也就是說(shuō)所有個(gè)人PC機(jī)都能參與，即使沒(méi)有高配顯卡也沒(méi)問(wèn)題。

騰訊御見(jiàn)威脅情報(bào)中心通過(guò)對(duì)520Miner礦工木馬投放團(tuán)隊(duì)的追蹤，發(fā)現(xiàn)該團(tuán)隊(duì)已玩幣上癮：從最初的古玩幣，升級(jí)到VIT虛擬幣（維特活力幣），520Miner挖礦團(tuán)伙主要利用游戲外掛傳播挖礦木馬，監(jiān)測(cè)數(shù)據(jù)表明，該挖礦木馬雖然上線(xiàn)沒(méi)幾天，但其影響范圍快速攀升，已影響數(shù)千臺(tái)機(jī)器。

0x2 詳細(xì)分析

目前發(fā)現(xiàn)520Miner挖礦木馬主要藏在毀滅者2游戲輔助中傳播，從文件名來(lái)看，輔助已經(jīng)更新至v5.5版本，也是從該版本被植入挖礦木馬。

壓縮包中d3dcompiler_43.dll屬輔助的功能模塊，負(fù)責(zé)注入游戲進(jìn)程，實(shí)現(xiàn)輔助功能，程序名及版本信息偽裝成系統(tǒng)D3D文件：

d3dcompiler_43.dll內(nèi)置PE包含關(guān)系圖：

同時(shí)，該dll也對(duì)外導(dǎo)出挖礦接口wk

輔助啟動(dòng)后會(huì)調(diào)用wk接口，會(huì)釋放RtkNGUI32.exe到temp目錄，RtkNGUI32.exe內(nèi)置在dll中，負(fù)責(zé)投放礦機(jī)

RtkNGUI32.exe屬于自解壓格式，包含了礦機(jī)的啟動(dòng)腳本以及礦機(jī)程序，這些文件被釋放到c:\windows\debug\wk\目錄下

輔助每次啟動(dòng)會(huì)釋放520.vbs，vbs負(fù)責(zé)啟動(dòng)礦機(jī)，因此木馬取名“520Miner”。

x.vbs被注冊(cè)為一個(gè)wmi啟動(dòng)程序，負(fù)責(zé)復(fù)活挖礦木馬，提升木馬存活概率。

USB64.exe屬于礦機(jī)程序，礦機(jī)基于cpuminer 1.3.4開(kāi)源礦機(jī)

0x3?溯源分析

在外掛的使用說(shuō)明中留下了作者的社交號(hào)碼

通過(guò)搜索可知，投放挖礦木馬的是廣州天河區(qū)一個(gè)古玩交易團(tuán)伙。

木馬投放者社交帳號(hào)資料：

團(tuán)伙其他成員：

木馬使用的礦池：stratum+tcp://hash4.life:3233

錢(qián)包地址：VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1

從收益來(lái)看，木馬總共挖取67枚，都是近幾天挖到的。這67枚VIT幣值多少錢(qián)呢？騰訊安全專(zhuān)家?guī)筒《咀髡咚懔讼拢坏揭幻X(qián)人民幣。你沒(méi)看錯(cuò)，是真的，這個(gè)520Miner挖礦木馬，感染了幾千臺(tái)計(jì)算機(jī)，折騰好幾天，一共還沒(méi)掙到一毛錢(qián)人民幣。

沒(méi)有對(duì)比就沒(méi)有傷害，再回頭看挖礦木馬PhotoMiner，PhotoMiner木馬感染肉雞電腦挖門(mén)羅幣，兩年時(shí)間賺了8900萬(wàn)人民幣。

0x4 安全建議

在游戲外掛（輔助程序）中植入挖礦木馬已經(jīng)屢見(jiàn)不鮮，這類(lèi)木馬利用玩家的高配置電腦挖取加密貨幣，已然成為不法分子挖礦的新方式。

針對(duì)日益猖獗的不法挖礦行為，騰訊電腦管家推出“反挖礦防護(hù)”功能，可對(duì)此類(lèi)挖礦木馬進(jìn)行全面攔截。目前該防護(hù)功能已覆蓋電腦管家全版本用戶(hù)，為用戶(hù)攔截并預(yù)警各類(lèi)挖礦木馬程序和含有挖礦js腳本網(wǎng)頁(yè)的運(yùn)行，確保用戶(hù)電腦資源不被侵占，擁有輕快的上網(wǎng)體驗(yàn)。

相關(guān)鏈接：

《絕地求生》輔助程序暗藏挖礦木馬 http://www.freebuf.com/news/158892.html

上百款《荒野行動(dòng)》游戲輔助被植入挖礦木馬 http://www.freebuf.com/column/164354.html

0x5 IOCs：

Md5：

be1800ea8228a09845bac7f541b14862

5cab23efe86356cb54bfb14f3148ba21

93e0bd3f0206e55124efcec0db8dccc1

78e5caa34f248ff7ce79060195062788

錢(qián)包地址：

VCgn4byJQeqqofCDjBkT3qCtQ8DiXCRsw1

騰訊御見(jiàn)威脅情報(bào)中心向您推薦以下方案防御可能的安全威脅：

御界高級(jí)威脅檢測(cè)系統(tǒng)

——可高效檢測(cè)未知威脅，并通過(guò)對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。

御界防APT郵件網(wǎng)關(guān)

——可迅速識(shí)別APT攻擊郵件、釣魚(yú)郵件、病毒木馬附件、漏洞利用附件等威脅

御點(diǎn)終端安全管理系統(tǒng)

——可有效防御針對(duì)企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊。具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，防御策略統(tǒng)一管控等安全管理功能

御知網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)

——對(duì)企業(yè)的網(wǎng)絡(luò)設(shè)備及應(yīng)用服務(wù)的可用性、安全性與合規(guī)性進(jìn)行定期的安全掃描，持續(xù)性風(fēng)險(xiǎn)預(yù)警和漏洞檢測(cè)，并且為企業(yè)提供專(zhuān)業(yè)的修復(fù)建議， 保障企業(yè)免受財(cái)產(chǎn)損失。

御見(jiàn)智能態(tài)勢(shì)感知平臺(tái)

——基于對(duì)設(shè)備、網(wǎng)絡(luò)和環(huán)境的持續(xù)、深層的監(jiān)控、分析來(lái)構(gòu)建融合了防御、檢測(cè)、響應(yīng)溯源和預(yù)測(cè)的全生命周期威脅應(yīng)對(duì)機(jī)制，通過(guò)可視化告知用戶(hù)、引導(dǎo)用戶(hù)進(jìn)行威脅處置和后續(xù)的主動(dòng)防御。

更多騰訊企業(yè)安全解決方案的相關(guān)資料，或申請(qǐng)產(chǎn)品試用，可聯(lián)系騰訊安全專(zhuān)家饒帥（raymondrao#tencent.com，郵件請(qǐng)將#替換為@）

騰訊御見(jiàn)威脅情報(bào)中心誠(chéng)邀各路英豪加盟，一起為捍衛(wèi)國(guó)家網(wǎng)絡(luò)安全貢獻(xiàn)力量。