tlMiner挖矿木马查杀工具

tlMiner挖矿木马杀毒专用工具是近期腾讯官方公布的对于最近席卷吃鸡游戏游戏玩家电脑上的HSR币挖矿木马的杀毒专用工具，很多人近期为了更好地吃鸡游戏在电脑上安装了一款名叫绝地求生游戏吃鸡游戏小程序的外挂软件，这一外挂软件在12月8号升级后被开发人员嵌入了挖矿木马，游戏玩家在运作这一外挂软件后木马病毒会将游戏玩家的电脑上变为极佳的挖矿设备，大伙儿假如害怕自身电脑上感染了这一木马病毒可以来多特下载这一辅助杀毒。

软件简介

昨日腾讯电脑大管家公布汇报，在《绝地求生》辅助程序中捕捉到HSR币挖矿木马。HSR币，在网上誉为为“红烧排骨”币，是一种新的数字货币。

汇报中表明，该挖矿木马名叫tlMiner，由一游戏辅助精英团队推广，现阶段已危害了数十万台客户设备。因为“绝地求生游戏”对电脑的配置规定较高，因而变成了犯罪分子的总体目标，将游戏玩家电脑上变成了“极佳”的挖矿设备。

依据汇报表明，尽管该辅助程序存有已久，可是挖矿木马则是从12月8号辅助程序新版本公布后才逐渐嵌入在其中并危害客户设备，并在12月20号做到最高点值，仅20号当日有近20万部设备遭受该挖矿木马危害。

汇报最终提示客户，要打开系统升级并立即修复漏洞，注意异常过程，不必应用辅助及来历不明的手机软件。

木马病毒剖析：

这款辅助选用e语言撰写，包括辅助主程序，依靠库及其白利用文档tlwgft.dat。

主程序加了4层壳：双层upx缩小，一层简易的数据加密壳，及其一部分VM编码。在其中破译优化算法也被搞混，为此抵抗反汇编。

被破译的编码每4字节数为一组，与0Xc2e22c1c做加减法就可以破译。

辅助运行后会复制系统软件的白文档，遮盖到文件列表tlwgft.dat，默认设置复制mshat.exe。假如复制不成功，则从内嵌目录先后复制，可被利用的安装文件目录如下所示：

复制结束则运行tlwgft.dat过程，主程序内嵌一个PE文档mgr.exe，利用运行内存载入方法更换tlwgfz的运行内存为mgr，更换的时候会有意抹去PE头，以抵抗运行内存dump。tlwgft这时归属于辅助主界面程序，承担辅助的升级，控制模块推广，及其挖矿木马推广。

主程序运行后，连接网络浏览一份过程目录。

这也是一份木马病毒的过程查验信用黑名单，绝大多数是安全类手机软件，假如该设备有下列过程在运作，则提醒客户关掉或卸载掉这种手机软件。

辅助主界面：

辅助打开后，从服务器获取环境变量，现阶段已经知道该辅助有3个网络服务器：

免费下载后压缩包，是辅助的一些作用环境变量。

获取完辅助环境变量，会从服务器获取挖矿程序pubghsr.exe。

免费下载取得成功后Pubghsr被释放出来在c:\windows\system\wininit.exe，并设定为开机运行。

程序根据ccMiner 2.0开源系统挖矿程序，ccMiner是根据NVIDIA GPU的挖矿程序，兼容windows，Linux，现阶段适用包含bitcoin 、HSR、Sibcoin 以内的58种虚拟货币的发掘。

现阶段该挖矿木马专业挖掘HSR币，以当前的成交价，1算率每日可得到RMB2.014元。

因为个人挖矿产出率能力有限，很可能一无所获，该木马病毒会依靠矿池挖矿，已连接矿池详细地址：

： 双优矿池，客户名叫tlwg.TCCS3

： 新秀上海市矿池，tlwg.PUBG

矿池做为一个服务平台，全部有计算水平的设备都能够参加挖矿，若得到奖赏，则按其设备的算率多少分派。现阶段HSR币的生产量大约每日624.93个。

HSR币从12月15号价钱逐渐增涨，现阶段成交价为RMB174元，且仍在增涨。