涉案1500万，抓捕诡异挖矿木马团伙

2017年底，名为“tlMiner”的挖矿木马传播达到顶峰。12月20日，腾讯电脑管家安全研究员发现近20万台机器受到挖矿木马的影响，发现“tlMiner”挖矿木马是针对“吃鸡”玩家和网吧高端电脑构建的。采矿集群。

竟然用“外挂+木马”的形式，打造鹅厂热门游戏的用户？这是无法忍受的。安全研究人员决定检查一下。没想到，经过追踪，他们发现了很多奇怪的东西。

“高科技”企业搞“副业”

2017年，大连当地一家高新技术企业秘密开发了副业。虽然这是一家所谓的“高科技”企业，但实际上员工并不多，规模堪比在村口开食堂的“夫妻店”。

2017年12月，比特币的增长依然惊人。主流币种中，IOTA、XMR（门罗币）和EOS表现非常出色。该公司随后提出了挖矿的想法。

原来，这家所谓的高科技企业主要是推广网络广告。有没有什么办法可以像“空手套白狼”一样利用现有的分销渠道做挖矿业务？毕竟网吧偷挖矿判多久，购买专业矿机、建设矿场也需要高昂的成本。

这家公司的老板 A 想出了一个主意：建立一个僵尸网络，让每个人“筹集资金”为自己挖矿！

如何结合现有业务打造庞大的僵尸网络？

今年，吃鸡游戏风靡全中国。A注意到了一位优秀的吃鸡游戏外挂作者B，他在游戏付费方面做得很好。于是，A联系了B，说他有一个赚钱的好生意。

A对B说，在B开发的插件中添加挖矿木马，并通过自身强大的分销网络推广其插件，B只需要等待和付费即可。

B听到这话，很感动。

黑与黑的“勾结”

一场阴谋开始了。

A利用自己现有的软件发行渠道“出卖”，如网吧联盟、论坛、下载站和云盘渠道等。

无意间，半年时间，他们构建了一个涉及389万台计算机的僵尸网络。经常玩游戏的可能都知道，这些都是高端电脑，简直就是挖矿神器。

而且，它是非常秘密地完成的。

“机智”挖矿木马“tlMiner”能够检测被感染机器的CPU使用率并做出如下决策：

1.一旦机器CPU使用率超过50%，伦家就不让你挖矿了。

2.如果伦家的挖矿行为要占据你40%的进程，哦，对不起，我退出了。

3.师父在吃鸡？为了不影响您的游戏速度，我们的矿工处于观望状态。

4.电脑屏幕不亮，主人玩休息累了？好的，采矿正在全速进行。

“tlMiner”这样做并不是因为它有良心，而是为了尽量减少它对被感染计算机的影响，防止它被计算机所有者发现，并延长它的挖矿时间。. .

所谓“赚钱不杀生”，主业就是这种“真诚”的挖矿木马。

A也有商人的“素养”：我们家是高科技企业，主营业务是广告，所以389万台电脑中，只要100万台高端电脑被选作挖矿木马，其他电脑会很旧。老实说，继续播放广告。

A和B初步合作后，效果不错，于是A向B的账户上交了一大笔感谢费。

B看了一眼：这事可以做！A居然可以这样坐着收钱，我也可以，对吧？

结果，“机智”的B在A不知情的情况下，在自己的外挂软件上偷偷开了一个后门，主要是挖矿HSR（卤肉币）。此刻，老板A正在兴高采烈地继续挖XMR（门罗币）、SHR（超级现金币）、BCD（比特币钻石）、SIA（云存储币）、DGB（数字币）等山寨币。

他们两个看起来就像井水没有变成河水一样。

事实上，为了不让A知道另一个“好风靠权力”的后门，B也尽力了：毕竟电脑的资源是有限的，当然偶尔抢资源去挖矿也不错。但就是这样一个后门，让B在A的分销渠道上继续赚了200多万元，而A赚了1000多万元，两人就这样和平相处了。

被捕

直到 2017 年 12 月，木马的传播量提醒安全研究人员注意部署在云中的安全大脑。

安全人员还发现，该挖矿木马采取了“白+黑”套路：正常程序或进程称为异常模块。

除了机器捕获的零星行为外，有直接证据表明近20万台机器受到了挖矿木马的影响。

鹅厂安全运营部研究人员收集整理了相关样本、分布、样本来源、攻击者IP地址、控制服务器IP地址、域名、病毒下载链接、受害计算机IP地址信息，等安全威胁情报。判决后，认为这是严重的网络犯罪威胁，可能危及数百万台计算机。需要通过公司安全管理部门向国家执法部门报告。

结果，电脑管家的运营团队迅速联系了腾讯卫报程序部，将这条线索报了警，拔萝卜带泥，发现了一家公司运营的大型黑帮挖矿木马。

据《法制日报》报道，警方接案后，通过网络提取了外挂木马样本，找到了木马开发者建立的木马交流群。初步调查发现，木马程序的开发者是杨某宝。杨某宝建立了多个插件讨论群，在群文件中分享插件程序，并以“世界网吧论坛”版主的身份，将含有木马的插件程序上传到“世界网吧”网吧”论坛供网友下载，并通过网盘分享下载的形式传播插件。

3月8日，杨某宝被捕。原来，杨某宝受雇于58寻退增值联盟，利用平台增值客户端非法挖矿，互利共赢。警方顺着线索，发现58寻退增值联盟背后的公司是大连的一家网络科技公司。

4月11日，警方将涉案16名嫌疑人全部抓获。随后，警方对大连网络科技有限公司的下线进行了梳理，并进行了抓捕。

原来，大连网络科技有限公司作为线上公司提供技术支持，开发挖矿监控软件，整合挖矿程序，然后在全国开发了数百个线下代理。这些线下拥有全国389万台电脑的庞大资源。大连公司与线下一一达成合作协议，不仅向这389万台电脑发送广告盈利，还选择其中超过100万台进行后台静音。在挖矿中，这两部分的利润是由线上和线下按比例分配的。

【区块链木马挖矿黑生产流程图】

＊＊花絮＊＊

好奇的小编宝贝VS腾讯电脑管家高级安全专家李铁军

1.雷锋网：您如何评价这个案子的规模？

李：位于大连的“tlMiner”挖矿木马团伙不是我们抓获的最大的，但它建立的僵尸网络是国内同类僵尸网络中规模最大的。

如果一个300万台规模的僵尸网络进行DDoS攻击，很容易造成网络瘫痪。如果在肉鸡电脑上收集个人信息，比如远程控制台式机和摄像头，后果也很严重。因为现阶段大部分病毒的感染量都不高，感染几千个单位也不错，几万个单位可以算是严重感染，几百万个单位就超级严重了。

2018年4月，我们在全球监测到一个PhotoMiner木马挖矿组织网吧偷挖矿判多久，通过入侵感染FTP服务器、暴力破解SMB服务器等方式扩大传播范围。PhotoMiner木马团伙自2016年首次被发现以来，通过门罗币挖矿积累了惊人的8900万元收入，成为2018年上半年的“淘金者”，诸多问题难以攻克。

2.雷锋网：在这种情况下，他们建立了一个巨大的僵尸网络，为什么不利用它同时提供DDoS攻击服务呢？

李：现在国家对DDoS攻击的监控很严，后果很严重。这些人不想因为想赚钱而丢了性命，而挖矿的收入要多得多，所以。. .

3.雷锋网：现在这些僵尸网络除了D和挖矿还有其他赚钱的方式吗？

李：我们监测到仍有人可能通过各种手段在短视频平台和社交网站上获取账号，组建僵尸粉大军，搞海军，写评论，支持网红。. .

4.雷锋网：不同的僵尸网络可能覆盖同一种易获取的肉鸡。如果大家都用它来挖矿，资源有限，互相争斗呢？

李：强者将启动之前的挖矿木马，开始自己的挖矿业务。

5.雷锋网：过去很多木马主要做的是锁定主页、弹出广告、推广软件等脏活。现在他们专注于采矿。用户“可以放心”了吗？

李：目前个人电脑的主流配置有很强的性能。即使木马已经在挖矿，性能不佳的直观感觉也不明显。只有当挖矿木马启动挖矿程序，用户启动消耗资源较多的应用程序，如大型游戏，才会感觉电脑变慢，温度升高，风扇噪音增大。通过大量的计算机操作获得数字货币奖励，挖矿对计算机硬件配置要求较高。傻孩子，没有松一口气）。

雷锋网注：本案涉案团伙落网信息摘自《法制日报》相关报道。