火絨安全警報:「2345聯盟」通過流氓軟體推廣挖礦工具 眾多用戶電腦淪為「肉雞」

一、t概述

12月1日,"火絨安全實驗室"發出警報,一款名為"雲計算"的軟體,正通過各種流氓渠道大肆推廣,該軟體除了把用戶電腦當"肉雞"進行挖礦外,沒有任何其他功能,是一種純粹的挖礦工具(生產"零幣")。而被植入"雲計算"軟體的電腦,則淪為挖礦的"肉雞",大量系統資源被侵佔,出現速度變慢、發熱等異常現象。

"雲計算"軟體由2345公司旗下的"2345王牌技術員聯盟"進行推廣,眾多流氓軟體通過該"聯盟"領取推廣任務,利用各種手段在用戶電腦上偷偷安裝該軟體,然後根據安裝量領取相應的報酬。

根據"火絨威脅情報系統"的監控,參與推廣"雲計算"挖礦工具的流氓軟體有:"雲愛PE工具箱"、"凌哥絕地求生助手V1.1.0"、"美捷便簽"、"swf播放精靈"、"美捷鬧鐘"等。這是一種常見的聯盟式流氓推廣渠道--任何流氓軟體都可以參與進來,最終按照安裝量從"聯盟"領取報酬。

"雲計算"挖礦工具使用了一些病毒團伙常用的開源惡意代碼,被"火絨安全軟體"直接攔截、查殺。這些惡意代碼很早就被火絨團隊截獲、處理過,所有利用這些惡意代碼的病毒和流氓軟體,都會被火絨產品自動截殺。

請廣大火絨用戶放心,"火絨安全軟體"無需升級,即可查殺"雲計算"挖礦工具。非火絨用戶,請立刻通過火絨官網下載產品,清除上述流氓軟體和挖礦工具。?

二、t樣本分析

近期, 火絨發現一些流氓軟體會靜默推廣"挖礦"程序挖取零幣(ZCoin),該程序安裝包來自2345官網(2345裝機聯盟_王牌技術員聯盟_電腦維修賺錢_裝機必備軟體)下載的 "雲計算"安裝包,且安裝包帶有2345官方簽名。安裝包文件信息,如下圖所示:

安裝包文件信息

安裝包釋放的LoveCloud.exe為數字貨幣礦工程序,用於挖取零幣。該程序中用戶數據均為加密存放,在CRTInit中完成解密。代碼如下圖所示:

如上圖,加密數據偏移+4的位置存放有32位哈希值,用來進行數據校驗。數據驗證有效後,調用decrypt_data_by_xor進行抑或解密(key數據為0x78817433563212F9,解密後數據地址存放在miner_data_base,下文中不再贅述)。完成解密後數據,如下圖所示:

解密後數據

解密後數據中,存放有礦工用戶名、密碼及礦池地址等數據。礦工相關數據,如下圖所示:

礦工信息

使用礦工用戶名和密碼可以登錄礦池領取任務,執行挖礦邏輯。如下圖所示:

登錄礦池代碼

當檢測到當前計算機CPU個數大於2時,即會開啟挖礦邏輯。如下圖所示:

代碼邏輯

三、t附錄

文中涉及樣本SHA256:


推薦閱讀:

火絨安全周報:Ins遭入侵600萬賬號被竊取 大部分PDF閱讀器存6年前老漏洞
完成1500萬元Pre-A輪融資 火絨為何牽手天融信?
火絨殺毒軟體怎麼樣?

TAG:火绒 | 流氓软件 | 挖矿 |