查看:233
回复:1
小心魔域私服客户端捆/绑传播远控木马和挖矿木马[复制链接]

2020-05-21 15:07:57 只看楼主 倒序浏览 电梯直达

 本帖最后由 ε๑⍥๑з 于 2020-05-21 15:11:20 编辑【文章摘要】腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播门罗币挖矿木马ws.exe和大灰狼远控木马DhlServer.exe。大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃/取隐私,在用户电脑下载安装其他木马,利用用户电脑做跳板攻击其他系统;而门罗币挖矿木马运行之后,会增加系统资源消耗,影响游戏软件的流畅运行。 


一、概述
    近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行,随后释放大灰狼远控木马DhlServer.exe,并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe,腾讯安全威胁情报中心将其命名为MoyuMiner。

    大灰狼远控木马安装后会完全控制用户系统,上传用户文件,窃/取隐私,在用户电脑下载安装其他木马,利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后,会增加系统资源消耗,影响游戏软件的流畅运行。

    《魔域》是网龙网络控股有限公司研发的大型网络游戏,在外网存在较多私服版本,这些私服版本游戏由于不受官方控制,容易成为病毒木马的传播渠道,截止目前MoyuMiner已感染超过5000台电脑,腾讯电脑管家可拦截查杀该病毒,保护相关游戏用户的电脑安全。

二、解决方案
    针对MoyuMiner挖矿木马,腾讯电脑管家(https://guanjia.qq.com/已支持全面检测和拦截,保障游戏玩家的电脑安全,响应方案如下:
    (1)保持杀毒软件的实时防护处于开启状态,腾讯电脑管家可实时查杀MoyuMiner相关的病毒程序,并及时拦截木马程序;
    (2)软件管理可提供干净无插件的软件安装程序,避免流氓软件**病毒;
    (3)使用杀毒软件拦截病毒木马劫持浏览器,不要轻信私服网页要求关闭杀毒软件再运行的谎话。腾讯电脑管家提供个人终端的PC安全防护、病毒查杀、清理加速等服务,提供更安全、流畅的上网体验。

三、病毒样本分析
    传播大灰狼远控木马的游戏为《魔域》,并且是由私服下载的版本,官网下载的游戏安装包不包含病毒。游戏玩家应尽量到官网官微下载游戏,避免遭遇私服病毒攻击。


    通过溯源分析发现,传播病毒的部分游戏文件md5和文件路径如下:

29cdbe3389710f729ab05fb32176f46b

c:\windows\南瓜魔域.exe

82a0ec414d494034c5097a21947612e7

e:\魔域\天晴魔域.exe

f9e809af170d41babc8aa4600ecc7943

e:\魔域\王者归来.exe

0cad2316812508eed7c44dfc3572e5fc

f:\game下载目录\以少胜多.exe

03a454ad548aa6e6880e1685cd32cade

f:\1\moyu\天天魔域.exe

f2bb13e3b74231a6e9ea7c1a38174fdd

f:\游戏\魔域\王者魔域.exe

920e922f03460341e4ed0e36a45fb1fe

e:\魔域2\moyu1\山摇地动.exe

6a83e5e251bdc76d519ae80c4b449323

e:\魔域-轮回之境\废寝忘食.exe

6793cf1beaa6e80b027945c38f0ad19b

c:\users\admin\appdata\roaming\2020魔域[云]\2020魔域.exe

b434481fe26563478b9a5bc692e32482

d:\program files (x86)\netdragon\魔域-御剑天下\傲视天下.exe

    木马伪装成游戏的保护模块C:\Program Files (x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe,随着游戏启动而运行。


    TQAT.exe拷贝自身到:C:\Users\Administrator\AppData\Roaming\TQAT.exe,然后释放大灰狼远控木马到Temp目录:C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe。DhlServer.exe申请内存空间,解密出大灰狼DLL文件并通过LoadLibrary加载执行。

    大灰狼DLL具有标记SER-V1.8,导出3个函数:DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。

    远控木马部分协议字段如下:


    大灰狼远控木马利用下载并执行文件的功能下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe ,存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll,BthUdTask.exe通过写入垃圾数据增肥文件大小到超过70兆。

    BthUdTask.exe解密BthUdTask.dll得到门罗币矿机程序System.exe,然后连接矿池141.255.164.28:5559挖矿

    IOCs

    Md5
    1a0f5b63b51eb71baa1b3b273edde9c9
    a5532e7929a1912826772a0e221ce50f
    1b6a3fa139983b69f9205aabe89d6747
    418b11efdd38e3329fbb47ef27d64c14
    37dff5776986eb5f6bb01c3b1df18557

    Domain
    fujinzhuang.f3322.net
    linbin522.f3322.net
    mine.gsbean.com
    www.baihes.com

    C2
    116.202.251.12:8585
    114.115.156.39:9624
    43.248.188.172:30017

    URL
    http[:]//www.baihes.com:8285/ws.exe
    http[:]//www.baihes.com:8282/cpa.exe 
 本主题由 ε๑⍥๑з 于 2020-07-03 12:14:21 解除高亮
ε๑⍥๑з
版主
LV.4
主题62
回帖1
经验389
Z 币271
ε๑⍥๑з
版主
LV.4
主题 62
回帖 1
经验 389
Z 币 271
注册 2018-10-11
最近 2020-08-10
1 条回复
2020-07-31 08:50:14 沙发
该楼层已被删除
゛黑白
LV.1
主题0
回帖0
经验2
Z 币2
゛黑白
LV.1
主题 0
回帖 0
经验 2
Z 币 2
注册 2020-07-31
最近 2020-07-31
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!