小心魔域私服客户端捆绑传播远控木马和挖矿木马

　　

　　长按二维码关注

　　御见要挟情中心

　　一、概述

近期腾讯安全要挟情中心检测到网络游戏《魔域》私服传达挖矿木马和近程控制木马。木马首先假装成游戏维护进程TQAT.exe随着游戏启动而执行，随后释减少灰狼远控木马DhlServer.exe，并使用远控木马的下载执行功用持续下载门罗币挖矿木马ws.exe，腾讯安全要挟情中心将其命名为MoyuMiner。

　　 

　　大灰狼远控木马安装后会完全控制用户零碎，上传用户文件，窃取隐私，在用户电脑下载安装其他木马，使用用户电脑做跳板攻击其他零碎。而门罗币挖矿木马运转之后，会添加零碎资源耗费，影响游戏软件的流利运转。

　　 

　　《魔域》是网龙网络控股无限公司研发的大型网络游戏，在外网存在较多私服版本，这些私服版本游戏由于不受官方控制，容易成为病毒木马的传达渠道，截止目前MoyuMiner已感染跨越5000台电脑。腾讯电脑管家和腾讯T-Sec终端安全管理零碎均可查杀该病毒。

二、处理方案

　　针对MoyuMiner挖矿木马，腾讯系列安全软件已支持片面检测和阻拦，呼应清单如下：

　　使用场景

　　安全产品

　　处理方案

　　威

　　胁

　　情

　　

　　腾讯T-Sec

　　要挟情云查效能

　　（SaaS）

　　1）MoyuMiner黑产团伙IOCs已入库。

　　各类安全产品可经过“要挟情云查效能”提供的接口提升要挟辨认才能。

　　可参考:

　　腾讯T-Sec

　　初级要挟追溯零碎

　　1）MoyuMiner的黑产相关信息和情已支持检索。

　　网管可经过要挟追溯零碎，分析日志，中止线索研判、追溯网络入侵源头。T-Sec初级要挟追溯零碎的更多信息，可参考：

　　云原生

　　安全

　　防护

　　云防火墙

　　（Cloud  Firewall，CFW）

　　基于网络流量中止要挟检测与自动阻拦，已支持：

　　1）MoyuMiner的IOCs已支持辨认检测；

　　2）对MoyuMiner相关挖矿协议、大灰狼远控协议特征中止辨认检测；

　　3）支持下发拜访控制规则封禁目的端口，自动阻拦MoyuMiner相关拜访流量。

　　 

　　有关云防火墙的更多信息，可参考：
 

　　腾讯T-Sec 安全运营中心

　　基于客户云端安全数据和腾讯安全大数据的云安全运营平台，已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情、要挟发现、事情处置、基线合规、及透露监测、风险可视等才能。可对MoyuMiner木马相关事情及时监控、告警。

　　 

　　关于腾讯T-Sec安全运营中心的更多信息，可参考：

　　非云企业安全防护

　　腾讯T-Sec

　　初级要挟检测零碎

　　（腾讯御界）

　　基于网络流量中止要挟检测，已支持：

　　1）对MoyuMiner相关联的IOCs已支持辨认检测；

　　2）对MoyuMiner相关挖矿协议、大灰狼远控协议特征中止辨认检测。

　　 

　　关于T-Sec初级要挟检测零碎的更多信息，可参考：

　　腾讯T-Sec终端安全管理零碎（御点）

　　1）腾讯御点可查杀MoyuMiner相关的病毒顺序；

　　腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等才能。

　　 

　　关于T-Sec终端安全管理零碎的更多材料，可参考：

　　腾讯电脑管家

　　1）可查杀MoyuMiner相关的病毒顺序；

　　2）软件管家可提供干净无插件的软件安装顺序。

　　提供集团终端的PC安全防护，清算加速，软件管理，办公助手等效能。

三、样本分析

　　传达大灰狼远控木马的游戏为《魔域》，并且是由私服下载的版本，官网下载的游戏安装包不包括病毒。

　　经过溯源分析发现，传达病毒的部分游戏文件md5和文件途径如下：

　　29cdbe3389710f729ab05fb32176f46b

　　c:\windows\南瓜魔域.exe

　　82a0ec414d494034c5097a21947612e7

　　e:\魔域\天晴魔域.exe

　　f9e809af170d41babc8aa4600ecc7943

　　e:\魔域\王者归来.exe

　　0cad2316812508eed7c44dfc3572e5fc

　　f:\game下载目录\以少胜多.exe

　　03a454ad548aa6e6880e1685cd32cade

　　f:\1\moyu\天天魔域.exe

　　f2bb13e3b74231a6e9ea7c1a38174fdd

　　f:\游戏\魔域\王者魔域.exe

　　920e922f03460341e4ed0e36a45fb1fe

　　e:\魔域2\moyu1\山摇地动.exe

　　6a83e5e251bdc76d519ae80c4b449323

　　e:\魔域-轮回之境\废寝忘食.exe

　　6793cf1beaa6e80b027945c38f0ad19b

　　c:\users\admin\appdata\roaming\2020魔域[云]\2020魔域.exe

　　b434481fe26563478b9a5bc692e32482

　　d:\program files (x86)\netdragon\魔域-御剑天下\傲视天下.exe

　　 

　　木马假装成游戏的维护模块C:\Program Files(x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe，随着游戏启动而运转。

　　 

　　TQAT.exe拷贝本身到：C:\Users\Administrator\AppData\Roaming\TQAT.exe，然后释减少灰狼远控木马到Temp目录：C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、

　　C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe

　　 

　　 

　　DhlServer.exe请求内存空间，解密出大灰狼DLL文件并经过LoadLibrary加载执行。

　　 

　　 

　　大灰狼DLL具有标志SER-V1.8，导出3个函数：DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。

　　 

　　远控木马部分协议字段如下：

　　 

　　大灰狼远控木马使用下载并执行文件的功用下载挖矿木马母体http[:]//存放至C:\Windows\SysWOW64\ws.exe。ws.exe运转后释放文件BthUdTask.exe、BthUdTask.dll，BthUdTask.exe经过写入渣滓数据增肥文件大小到跨越70兆。

　　BthUdTask.exe解密BthUdTask.dll失掉门罗币矿机顺序System.exe，然后衔接矿池141.255.164.28:5559挖矿

IOCs

　　Md5

　　1a0f5b63b51eb71baa1b3b273edde9c9

　　a5532e7929a1912826772a0e221ce50f

　　1b6a3fa139983b69f9205aabe89d6747

　　418b11efdd38e3329fbb47ef27d64c14

　　37dff5776986eb5f6bb01c3b1df18557

　　 

　　Domain

　　fujinzhuang.f3322.net

　　linbin522.f3322.net

　　mine.gsbean.com

　　 

　　C2

　　116.202.251.12:8585

　　114.115.156.39:9624

　　43.248.188.172:30017

　　 

　　URL

　　http[:]//

　　http[:]//