玩“吃鸡”的时候要小心！超百万台电脑被木马控制“挖矿”，获利超1500万元

事实上，您的计算机正被特洛伊木马程序控制。

为千里之外的科技公司“挖矿”获取虚拟数字货币。

自2015年起，大连升平网络科技有限公司在全国范围内招募代理商，推广与挖矿程序捆绑的木马58寻推增值客户端。客户端一旦植入电脑主机，就会默默下载挖矿监控软件。运行挖矿程序，挖到的币将转入公司控制人He的虚拟货币钱包中。

该公司非法利用黑客技术控制了389万台电脑主机和超过100万台挖矿主机。

青州男子开发“吃鸡”外挂木马

近两年来，俗称“吃鸡”的《绝地求生》游戏在网络上走红，成为众多游戏玩家的最爱。为了在游戏中“所向无敌”，很多玩家都会使用游戏外挂来获得更多的能力，比如“自动瞄准”、“视角”、“子弹加速”等，这些外挂大多是声称是免费的，但实际上它们的内存很棘手。

去年12月20日，腾讯守护者计划安全团队发现《绝地求生》游戏中一个名为“吃鸡小程序”的插件含有木马程序。该木马程序具有后台静默挖矿功能（挖矿是通过大量的计算机运算来获取数字货币——虚拟货币奖励，主要消耗计算机CPU、GPU资源和电力资源）。初步统计，该木马程序已感染数十万台用户机器。

随后，该线索移送潍坊市公安局网安支队调查。

警方通过网络提取外挂木马样本，发现了木马开发者建立的木马通讯组。初步调查发现，该木马程序的开发者位于青州市。潍坊市局、青州市局网安支队成立专案组，对该案展开调查。

3月8日，专案组制定详细抓捕方案，在家中将杨某宝抓获。

大学学历、著名黑客

只有大学学历的杨某宝在大学期间大部分时间都在学习计算机程序。他用自己学到的编程语言编写插件、修改游戏，在网络上获得了一定的声誉。之后，他在青州一家网吧担任网络管理员，接触到更多“黑客技术”，以达到赚钱的目的。

最初，他冒充“爱奇艺”，编写了“酷艺VIP影视”服务器和客户端。他在全国发展了60多家代理商，以年票、月票的形式销往全国各地的网吧。杨某宝向全国2465家网吧共出售年卡5774张、季卡282张、半年卡116张、月卡3285张，非法获利20万元以上。

此外，杨某宝还开发了一款名为“吃鸡小程序”的外挂程序，并提供给网友免费下载，以发展大量用户，获得多台电脑主机的访问权限。 2017年，杨某宝在天下网吧论坛上接触到58迅推客户端广告增值服务，并联系了大连升平网络科技有限公司（以下简称“大连升平公司”），平台的开发公司。知道客户端捆绑了挖矿木马，就可以控制主机“挖矿”，通过捆绑客户端来获利。

杨某宝控制着大量网吧主机，成为推广平台的大客户。杨某宝利用此前推广软件开发的用户推广58迅推增值客户端，从而控制3万多台网吧电脑为大连升平公司“挖矿”。他通过有效控制的终端数量收取佣金，这是非法的。利润26.8万元。

看到控制别人的主机“挖矿”可以赚取巨额利润，杨某宝利用自己的才能，修改了58寻推客户端和捆绑的“挖矿”木马程序，嵌入了自己的HSR（“红烧肉币”）。一种虚拟货币）钱包地址。被控主机在挖矿过程中挖出矿币后，会转入自己的HSR钱包。

另外，杨某宝将这个挖矿木马程序捆绑到之前开发的“酷艺VIP影视”服务器和“吃鸡小程序”中，然后对这两个程序进行升级，将“挖矿”木马程序植入到主机中安装了两个程序，从而控制更多主机对其进行“挖掘”。据统计，从2017年10月至案发，杨某宝共开采HSR币8551.9枚（最高价格252元/枚，目前42元/枚）。

“挖矿”木马背后是正规网络公司

青州市公安局网安大队大队长田爱伟表示，他们调查发现，该公司是一家正式注册的网络计算机公司，有员工40余人。

专案组先后3次赴大连对该公司进行调查。

“我们查到，该公司的幕后控制人是何某，38岁，吉林人，公司财务总监陈某，32岁，何某的妻子，也是吉林人。”

潍坊市公安局网安支队民警王万涛说，他平时都呆在家里，很少去公司。妻子陈女士负责公司日常工作。

4月11日，潍坊市公安局、青州市公安局网安支队抽调精干人员50余人前往大连。经过周密部署，专案组对大连升平公司及何家发起突击抓捕行动，将涉案犯罪嫌疑人16名全部抓获。经审查，何某、陈某等12人因涉嫌非法控制计算机信息系统罪被刑事拘留，赵某等4人取保候审。

随后，专案组对大连升平网络科技有限公司下线人员进行梳理，并展开抓捕。 4月18日，专案组捣毁哈尔滨讯博网络科技有限公司，抓获张某（男，36岁，哈尔滨人）、高某（男，36岁，哈尔滨人）。两名犯罪嫌疑人利用职务便利，将挖矿木马捆绑到黑龙江省网吧使用的网管软件中，非法控制486家网吧共计5.9万台电脑主机，其中1.5万多台电脑用于“挖矿”。 ”

4月19日，专案组在佛山抓获杜某雄（男，33岁，广东佛山人），并收缴DLL挖矿程序。犯罪嫌疑人同时也是一名网络管理员，利用网管软件捆绑挖掘“木马控制主机”。

“犯罪嫌疑人是大连盛平公司最大的代理人，被捕前已获利100万元以上。”王万涛介绍。

自动监控CPU利用率低于50%时开始挖矿

现年38岁的何某是大连盛平公司的实际控制人，也是非法控制计算机信息系统的老手。他此前曾在南方活动，并于2014年因此受到处罚。

2014年下半年，他在大连成立了一家公司，提供广告增值服务。起初只有几个人，后来发展到了40多人。

“所谓的广告增值服务也处于灰色地带，通过启动广告、弹出广告和隐藏广告帮助其他企业进行推广，并根据实际点击量收取费用。”

王万涛表示，这还需要通过招募代理推广客户来实现，而何先生的客户就是58迅推增值客户。

2014年以来，以比特币为代表的虚拟数字货币开始流行，导致众多虚拟数字货币涌现。看到这个“窗口”，他开始不甘于只推销增值客户。从2015年开始，他开始指示公司副总裁兼运营总监张某宁组织研发和测试部门开发“挖矿”木马。

为此，公司研发部门负责开发“挖矿”监控软件，集成“挖矿”程序；测试部负责测试，客服部负责开发线下代理并指导使用。线下代理商从迅推平台下载增值客户端程序后，通过各种方式将增值客户端非法植入网吧主机，并默默下载“挖矿”监控软件并运行“挖矿”程序。挖出的矿币将转移到何某的虚拟货币钱包中。其中，杨某宝等人是他的线下经纪人。

“一旦主机被植入木马，只要主机开机，其监控软件就会分析电脑的CPU利用率，一旦低于50%，就会启动‘挖矿’程序进行‘挖矿’。”如果CPU 利用率很高，就停止‘挖掘’并防止被发现。”

田爱伟表示，即使杀毒软件检测并查杀，他的公司仍然可以通过更改部分数据、升级程序来规避杀毒软件。

据统计，2015年以来，何某等人非法控制电脑主机389万台，产生广告增值收入，在超过100万台电脑主机上悄悄安装挖矿程序，累计开采DGB币（“数字币”）。过去三年）。 ）、DCR币（“德赛币”）、SC币（“云创币”）超过2600万枚，非法获利共计超过1500万元。