“太极挂机”软件圈钱骗局：披着网赚外衣的“三合一”挖矿木马腾讯云开发者社区

披着“轻松网赚”名号的木马极易诱骗网民中招，360安全卫士无需升级就能拦截此类木马，保持安全软件常开即可有效防御；此外，一旦发现电脑出现CPU占用过高、发热变慢等情况，应尽快使用360安全卫士查杀木马；同时，如果出现系统被锁的情况，可使用360系统急救箱对MBR进行修复后，再使用安全卫士全盘扫描彻底清除木马。

下面就以“太极挂机”程序进行简单分析：

图1

“太极挂机”主要行为流程简图：

图2

一、挖矿行为：

程序运行后检测没有被调试后便开始挖门罗币，挖门罗币的矿池、钱包等信息：

图3

图4

挖矿时CPU几乎被100%占用：

图5

上述分析得到门罗币钱包地址：

48W67urumqALX6UDRyqpSG8ENHLj9mbswgLSEVTHR3JMc6WqrRw8CRrTvDk2yL2eC2PCH5j5urG2fgtnnuAnzGRbTaNvhgv

这个钱包共有20个门罗币，以当前的门罗币兑人民币单价计算，总值达到约3.7万元人民币。

图6

图7

二、添加开机MBR锁密码：

该挂机程序当检测到有调试类程序运行时则会立即修改电脑的MBR添加密码并退出挖矿程序，被修改MBR后需要输入其设置的随机密码才能正常开机！！

图8

图9

之后程序就会修改MBR，修改后的MBR如下图所示：MBR锁密码为随机生成的14位大小写字母+AAAA：

图10

图11

三、Ramnit感染：

除以上行为外，太极挂机软件还会释放出今年比较流行的Ramnit感染型木马（不过分析人员怀疑该行为并非挂机软件作者自己有意而为之，而是作者的开发环境本身也中了Ramnit木马导致开发出的木马程序也被该木马感染所造成的二次传播），如下图所示：代码段.rmnet就是Ramnit感染型木马的核心代码，该代码段被设置为程序入口点所在段，在程序运行后被最先执行：

图12

挂机挖矿程序运行后会在ProgramFiles目录下创建Microsoft\DesktopLayer.exe可执行程序。DesktopLayer.exe启动IE的浏览器的进程iexplore.exe，并将iexplore.exe地址空间替换成木马的恶意代码，后续的感染html文件、可执行文件及网络通信都是通过被替换的iexplore.exe进程来实现的。此外木马还会修改注册表项HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit，来达到开机启动的目的。

木马还会感染电脑中的所有.html或.htm后缀的网页，在.html或.htm文件中添加如下的VBScript攻击代码：

图13

图14

结语：

随着虚拟币的兴起，巨大利益催生了挖矿黑色产业链，不法分子开始尝试“不同寻常”的挖矿之路，让人防不胜防。用户应注意提高防范意识，切勿轻信所谓的网赚挂机程序的误导提示（如杀毒软件误报－添加信任运行等）。注意保证安全软件的常开以进行防御，同时，一旦受诱导而不慎中招，尽快使用360安全卫士全盘查杀清除木马。