火絨安全警報：「2345聯盟」通過流氓軟體推廣挖礦工具 眾多用戶電腦淪為「肉雞」

一、t概述

12月1日，"火絨安全實驗室"發出警報，一款名為"雲計算"的軟體，正通過各種流氓渠道大肆推廣，該軟體除了把用戶電腦當"肉雞"進行挖礦外，沒有任何其他功能，是一種純粹的挖礦工具（生產"零幣"）。而被植入"雲計算"軟體的電腦，則淪為挖礦的"肉雞"，大量系統資源被侵佔，出現速度變慢、發熱等異常現象。

"雲計算"軟體由2345公司旗下的"2345王牌技術員聯盟"進行推廣，眾多流氓軟體通過該"聯盟"領取推廣任務，利用各種手段在用戶電腦上偷偷安裝該軟體，然後根據安裝量領取相應的報酬。

根據"火絨威脅情報系統"的監控，參與推廣"雲計算"挖礦工具的流氓軟體有："雲愛PE工具箱"、"凌哥絕地求生助手V1.1.0"、"美捷便簽"、"swf播放精靈"、"美捷鬧鐘"等。這是一種常見的聯盟式流氓推廣渠道--任何流氓軟體都可以參與進來，最終按照安裝量從"聯盟"領取報酬。

"雲計算"挖礦工具使用了一些病毒團伙常用的開源惡意代碼，被"火絨安全軟體"直接攔截、查殺。這些惡意代碼很早就被火絨團隊截獲、處理過，所有利用這些惡意代碼的病毒和流氓軟體，都會被火絨產品自動截殺。

請廣大火絨用戶放心，"火絨安全軟體"無需升級，即可查殺"雲計算"挖礦工具。非火絨用戶，請立刻通過火絨官網下載產品，清除上述流氓軟體和挖礦工具。?

二、t樣本分析

近期， 火絨發現一些流氓軟體會靜默推廣"挖礦"程序挖取零幣（ZCoin），該程序安裝包來自2345官網（2345裝機聯盟_王牌技術員聯盟_電腦維修賺錢_裝機必備軟體）下載的 "雲計算"安裝包，且安裝包帶有2345官方簽名。安裝包文件信息，如下圖所示：

安裝包文件信息

安裝包釋放的LoveCloud.exe為數字貨幣礦工程序，用於挖取零幣。該程序中用戶數據均為加密存放，在CRTInit中完成解密。代碼如下圖所示：

如上圖，加密數據偏移+4的位置存放有32位哈希值，用來進行數據校驗。數據驗證有效後，調用decrypt_data_by_xor進行抑或解密（key數據為0x78817433563212F9，解密後數據地址存放在miner_data_base，下文中不再贅述）。完成解密後數據，如下圖所示：

解密後數據

解密後數據中，存放有礦工用戶名、密碼及礦池地址等數據。礦工相關數據，如下圖所示：

礦工信息

使用礦工用戶名和密碼可以登錄礦池領取任務，執行挖礦邏輯。如下圖所示：

登錄礦池代碼

當檢測到當前計算機CPU個數大於2時，即會開啟挖礦邏輯。如下圖所示：

代碼邏輯

三、t附錄

文中涉及樣本SHA256：