tlMiner挖矿木马查杀工具是最近腾讯发布的针对近期肆虐吃鸡玩家电脑的HSR币挖矿木马的查杀工具，很多人最近为了吃鸡在电脑上下载了一款名为绝地求生吃鸡小程序的外挂，这个外挂在12月8号更新后被开发者植入了挖矿木马，玩家在运行这个外挂后木马会将玩家的电脑变成绝佳的挖矿机器，大家如果担心自己电脑感染了这个木马可以来存起来软件下载这个辅助查杀。

tlMiner挖矿木马介绍：

昨日腾讯电脑管家发布报告，在《绝地求生》辅助程序中捕获到了HSR币挖矿木马。HSR币，网上戏称为“红烧肉”币，是一种新的加密货币。

报告中表示，该挖矿木马名为tlMiner，由一游戏辅助团队投放，目前已影响了数十万台用户机器。由于“绝地求生”对电脑性能要求较高，因此成为了不法分子的目标，将玩家电脑变成了“绝佳”的挖矿机器。

根据报告显示，虽然该辅助程序存在已久，但是挖矿木马却是从12月8号辅助程序新版发布后才开始植入其中并影响用户机器，并在12月20号达到最高峰值，仅20号当天就有近20万台机器受到该挖矿木马影响。

报告最后提醒用户，要开启系统更新并及时打补丁，留意可疑进程，不要使用辅助及来路不明的软件。

木马分析：

这款辅助采用易语言编写，包含辅助主程序，依赖库以及白利用文件tlwgft.dat。

主程序加了4层壳：两层upx压缩，一层简单的加密壳，以及部分VM代码。其中解密算法也被混淆，以此对抗反编译。

被解密的代码每4字节为一组，与0Xc2e22c1c做减法即可解密。

辅助启动后会拷贝系统的白文件，覆盖到当前目录tlwgft.dat，默认拷贝mshat.exe。如果拷贝失败，则从内置列表依次拷贝，可被利用的系统文件列表如下：

拷贝完毕则启动tlwgft.dat进程，主程序内置一个PE文件mgr.exe，利用内存加载方式替换tlwgfz的内存为mgr，替换时会刻意抹掉PE头，以对抗内存dump。tlwgft此时属于辅助主界面程序，负责辅助的更新，模块投放，以及挖矿木马投放。

主程序启动后，联网访问一份进程列表。

这是一份木马的进程检查黑名单，大部分是安全类软件，如果本机有以下进程在运行，则提示用户关闭或卸载这些软件。

辅助主界面：

辅助开启后，从服务器拉取配置文件，目前已知该辅助有3个服务器：

下载后解压文件，是辅助的一些功能配置文件。

拉取完辅助配置文件，会从服务器拉取挖矿程序pubghsr.exe。

下载成功后Pubghsr被释放在c:windowssystemwininit.exe，并设置为开机启动。

程序基于ccMiner 2.0开源挖矿程序，ccMiner是基于NVIDIA GPU的挖矿程序，兼容windows，Linux，目前支持包括bitcoin 、HSR、Sibcoin 在内的58种虚拟币的挖掘。

目前该挖矿木马专门挖取HSR币，以目前的交易价格，1算力每天可获得人民币2.014元。

由于个体挖矿产出能力有限，很可能颗粒无收，该木马会借助矿池挖矿，已连接矿池地址：

hcash.uupool.cn： 双优矿池，用户名为tlwg.TCCS3

hcash-shanghai.globalpool.cc： 新星上海矿池，tlwg.PUBG

矿池作为一个平台，所有有计算能力的机器都可以参与挖矿，若获得奖励，则按其机器的算力高低分配。目前HSR币的产量大概每天624.93个。

HSR币从12月15号价格开始上涨，目前交易价格为人民币174元，且还在上涨。