《绝地求生》游戏辅助程序内藏挖矿木马

《绝地求生》游戏辅助外挂程序内藏挖矿木马，腾讯电脑管家近日捕获的 HSR 币挖矿木马，隐藏在“绝地求生”辅助程序中，而由于“绝地求生”对电脑性能要求较高，不法分子瞄准”绝地求生”玩家电脑，相当于找到了“绝佳”的挖矿机器。经分析，已确定该挖矿木马名为 tlMiner，由一游戏辅助团队投放，目前已影响了数十万台用户机器。

小心《绝地求生》游戏辅助程序内藏挖矿木马

据了解，HSR 币，网上戏称为“红烧肉”币，是一种新的去中心化、开源、跨系统的数字加密货币，具有双重侧链，同时兼容区块链和 DAG 两种分布式系统，HSR 于今年 6 月完成 ICO，8 月 20 日上线中国比特币交易平台，目前交易价格接近 200 人民币，且仍在上涨；与比特币类似，HSR 币数量也是固定的，总量大约为 8400 万。这款辅助采用易语言编写，包含辅助主程序，依赖库以及白利用文件 tlwgft.dat，主程序加了 4 层壳：两层 upx 压缩，一层简单的加密壳，以及部分 VM 代码。其中解密算法也被混淆，以此对抗反编译。被解密的代码每 4 字节为一组，与 0Xc2e22c1c 做减法即可解密。 辅助启动后会拷贝系统的白文件，覆盖到当前目录 tlwgft.dat，默认拷贝 mshat.exe。

拷贝完毕则启动 tlwgft.dat 进程，主程序内置一个 PE 文件 mgr.exe，利用内存加载方式替换 tlwgfz 的内存为 mgr，替换时会刻意抹掉 PE 头，以对抗内存 dump。tlwgft 此时属于辅助主界面程序，负责辅助的更新，模块投放，以及挖矿木马投放。 主程序启动后，联网访问一份进程列表。下载成功后 Pubghsr 被释放在c:\windows\system\wininit.exe，并设置为开机启动。 程序基于 ccMiner 2.0 开源挖矿程序，ccMiner 是基于 NVIDIA GPU 的挖矿程序，兼容 windows，Linux，目前支持包括 bitcoin 、HSR、Sibcoin 在内的 58 种虚拟币的挖掘。 目前该挖矿木马专门挖取 HSR 币，以目前的交易价格，1 算力每天可获得人民币 2.014 元。该辅助工具虽然存在已久，但此次发现的挖矿木马是在 12 月 8 号辅助新版发布后才开始植入辅助工具。从传播趋势看，该木马从 12 月 8 号开始影响用户机器，并在 12 月 20 号达到最高峰值，仅 20 号当天就有近 20 万台机器受到该挖矿木马影响。

对此，腾讯电脑管家建议玩家：

1、 开启系统自动更新，及时打补丁，防止恶意木马利用；

2、 服务器避免使用弱口令，不给不法分子可乘之机；

3、 机器卡慢时应立即查看 CPU 使用情况，若发现可疑进程可及时关闭；

4、 不浏览色情、辅助等被标记为不可信的网站；

5、 不使用辅助及来路不明的软件，使用软件前先用安全软件进行扫描，使用腾讯电脑管家拦截查杀该类挖矿木马。

延伸阅读：《绝地求生》游戏

《绝地求生》是Bluehole与《H1Z1》、《武装突袭3》“大逃杀”模式制作人Playerunknown联合开发的第三人称射击游戏，采用虚幻4引擎制作，游戏登陆PC/XBOX1平台，游戏于2017年12月21日正式发行。 该游戏是一款大逃杀类型的游戏，玩家需要在岛上收集各种资源，在不断缩小的安全区域内对抗其他玩家，让自己生存到最后。游戏在中国由腾讯游戏独家代理运营 。《绝地求生》除获得G-STAR最高奖项总统奖以及其他五项大奖，还打破了7项吉尼斯纪录。

每一局游戏将有100名玩家参与，他们将被投放在绝地岛的上空，游戏开始跳伞时所有人都一无所有。 游戏展开的方式是：玩家赤手空拳地分布在岛屿的各个角落，利用岛上多样的武器与道具。随着时间的流逝，岛上的安全地带越来越少，特定地区也会发生爆炸的情况，最终只有一人/一队存活获得胜利。 游戏的每一局比赛都会随机转换安全区，并且每个区域获得的武器、道具均是随机出现。这样玩家的很新鲜与紧张感会更加强烈。