连续41次通过VB100认证,腾讯安全技术实力再获国际权威认可
【文章摘要】 腾讯平安威胁情报中心检测到网络游戏《魔域》私服流传门罗币挖矿木马ws.exe和大灰狼远控木马DhlServer.exe。大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃取隐私,在用户电脑下载安装其他木马,行使用户电脑做跳板攻击其他系统;而门罗币挖矿木马运行之后,会增添系统资源消耗,影响游戏软件的流通运行。一、概述
近期腾讯平安威胁情报中心检测到网络游戏《魔域》私服流传挖矿木马和远程控制木马。木马首先伪装成游戏珍爱历程TQAT.exe随着游戏启动而执行,随后释放大灰狼远控木马DhlServer.exe,并行使远控木马的下载执行功效继续下载门罗币挖矿木马ws.exe,腾讯平安威胁情报中心将其命名为MoyuMiner。
大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃取隐私,在用户电脑下载安装其他木马,行使用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后,会增添系统资源消耗,影响游戏软件的流通运行。
《魔域》是网龙网络控股有限公司研发的大型网络游戏,在外网存在较多私服版本,这些私服版本游戏由于不受官方控制,容易成为病毒木马的流传渠道,停止现在MoyuMiner已熏染跨越5000台电脑,腾讯电脑管家可阻挡查杀该病毒,珍爱相关游戏用户的电脑平安。
二、解决方案
针对MoyuMiner挖矿木马,腾讯电脑管家(https://guanjia.qq.com/)已支持周全检测和阻挡,保障游戏玩家的电脑平安,响应方案如下:
(1)保持杀毒软件的实时防护处于开启状态,腾讯电脑管家可实时查杀MoyuMiner相关的病毒程序,并实时阻挡木马程序;
(2)软件治理可提供清洁无插件的软件安装程序,制止流氓软件捆绑病毒;
(3)使用杀毒软件阻挡病毒木马挟制浏览器,不要轻信私服网页要求关闭杀毒软件再运行的谎言。腾讯电脑管家提供小我私家终端的PC平安防护、病毒查杀、清算加速等服务,提供更平安、流通的上网体验。
三、病毒样本剖析
流传大灰狼远控木马的游戏为《魔域》,并且是由私服下载的版本,官网下载的游戏安装包不包罗病毒。游戏玩家应尽量到官网官微下载游戏,制止遭遇私服病毒攻击。
通过溯源剖析发现,流传病毒的部门游戏文件md5和文件路径如下:
29cdbe3389710f729ab05fb32176f46b
c:\windows\南瓜魔域.exe
82a0ec414d494034c5097a21947612e7
e:\魔域\天晴魔域.exe
f9e809af170d41babc8aa4600ecc7943
e:\魔域\王者归来.exe
0cad2316812508eed7c44dfc3572e5fc
f:\game下载目录\以少胜多.exe
03a454ad548aa6e6880e1685cd32cade
f:\1\moyu\天天魔域.exe
f2bb13e3b74231a6e9ea7c1a38174fdd
f:\游戏\魔域\王者魔域.exe
920e922f03460341e4ed0e36a45fb1fe
e:\魔域2\moyu1\山摇地动.exe
6a83e5e251bdc76d519ae80c4b449323
e:\魔域-循环之境\废寝忘食.exe
6793cf1beaa6e80b027945c38f0ad19b
c:\users\admin\appdata\roaming\2020魔域[云]\2020魔域.exe
b434481fe26563478b9a5bc692e32482
d:\program files (x86)\netdragon\魔域-御剑天下\傲视天下.exe
亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,企业注意及时清除
木马伪装成游戏的珍爱模块C:\Program Files (x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe,随着游戏启动而运行。
TQAT.exe拷贝自身到:C:\Users\Administrator\AppData\Roaming\TQAT.exe,然后释放大灰狼远控木马到Temp目录:C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe。DhlServer.exe申请内存空间,解密出大灰狼DLL文件并通过LoadLibrary加载执行。
大灰狼DLL具有符号SER-V1.8,导出3个函数:DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供挪用。
远控木马部门协议字段如下:
大灰狼远控木马行使下载并执行文件的功效下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe,存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll,BthUdTask.exe通过写入垃圾数据增肥文件大小到跨越70兆。
BthUdTask.exe解密BthUdTask.dll获得门罗币矿机程序System.exe,然后毗邻矿池141.255.164.28:5559挖矿。
IOCs
Md5
1a0f5b63b51eb71baa1b3b273edde9c9
a5532e7929a1912826772a0e221ce50f
1b6a3fa139983b69f9205aabe89d6747
418b11efdd38e3329fbb47ef27d64c14
37dff5776986eb5f6bb01c3b1df18557
Domain
fujinzhuang.f3322.net
linbin522.f3322.net
mine.gsbean.com
www.baihes.com
C2
116.202.251.12:8585
114.115.156.39:9624
43.248.188.172:30017
URL
http[:]//www.baihes.com:8285/ws.exe
http[:]//www.baihes.com:8282/cpa.exe
软件破解补丁隐藏窃密木马,毒害全球数百万网民