“2345联盟”通过流氓软件推广挖矿工具 众多用户电脑沦为“肉鸡”

2017-12-04 09:37  阅读 82 views 次 百度已收录   评论 0 条

一、 概述

12月1日,“火绒安全实验室”发出警报,一款名为“云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当“肉鸡“进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产“零币”)。而被植入“云计算”软件的电脑,则沦为挖矿的“肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。
“云计算”软件由2345公司旗下的“2345王牌技术员联盟”进行推广,众多流氓软件通过该“联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。
根据“火绒威胁情报系统”的监控,参与推广“云计算”挖矿工具的流氓软件有:“云爱PE工具箱”、“凌哥绝地求生助手V1.1.0"、“美捷便签”、“swf播放精灵”、“美捷闹钟”等。这是一种常见的联盟式流氓推广渠道——任何流氓软件都可以参与进来,最终按照安装量从“联盟”领取报酬。
“云计算”挖矿工具使用了一些病毒团伙常用的开源恶意代码,被“火绒安全软件”直接拦截、查杀。这些恶意代码很早就被火绒团队截获、处理过,所有利用这些恶意代码的病毒和流氓软件,都会被火绒产品自动截杀。
请广大火绒用户放心,“火绒安全软件”无需升级,即可查杀“云计算”挖矿工具。非火绒用户,请立刻通过火绒官网下载产品,清除上述流氓软件和挖矿工具。

 

二、 样本分析

近期, 火绒发现一些流氓软件会静默推广“挖矿”程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的 “云计算”安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:
安装包文件信息

安装包文件信息

安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。该程序中用户数据均为加密存放,在CRTInit中完成解密。代码如下图所示:
数据校验

数据校验

如上图,加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base,下文中不再赘述)。完成解密后数据,如下图所示:
解密后数据

解密后数据

解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,如下图所示:
矿工信息

矿工信息

使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:
登录矿池代码

登录矿池代码

当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。如下图所示:
代码逻辑

代码逻辑

三、 附录

文中涉及样本SHA256:
SHA256
fd81c0a514e0b0d24b648361393147dcd485ae9999d76bf97eddf295aa85b178
eb7362a40ae29817cc0d369aa15f21eac4655a5199b52c1ea74c46ada309cf3f
火绒官网下载:http://www.huorong.cn/     下载火绒完整版:http://www.huorong.cn/downfull4.html

四、后续

  • 2345火速下架挖矿软件:

目前在2345装机联盟已经看不到有关云计算的推广包,同时目前也没有看到2345联盟对此事进行公开回应。2345早年开始利用装机渠道捆绑流氓软件和锁定浏览器主页引起众多用户反感, 如今竟然还搞出挖矿软件。目前火绒杀毒已经可以查杀2345旗下的这款流氓挖矿软件, 有疑问的用户可以下载火绒杀毒进行全盘查杀。

  • 更新:2345称即日起停止推广云计算:

2345联盟官方在论坛中发布的帖子称由于推广策略调整,云计算(挖矿工具)即日起立即停止进行渠道推广。有意思的2345声称该挖矿工具并不是2345的产品,而是第三方软件只是在2345 技术员联盟上进行推广而已。但火绒发布的分析报告可以看到该挖矿工具附带2345的数字签名,这种时候还在极力甩锅不知道还能骗到谁。

历史上的今天:

本文地址:https://www.jikefan.com/584.html
版权声明:本文为原创文章,版权归 Elvis Loo 所有,欢迎分享本文,转载请保留出处!
2345网址导航

发表评论


表情