一、概述

12月1日,一款名为”云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当”肉鸡”进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产”零币”)。而被植入”云计算”软件的电脑,则沦为挖矿的”肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。

“云计算”软件由2345公司旗下的”2345王牌技术员联盟”进行推广,众多流氓软件通过该”联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。

根据”火绒威胁情报系统”的监控,参与推广”云计算”挖矿工具的流氓软件有:”云爱PE工具箱”、”凌哥绝地求生助手V1.1.0″、”美捷便签”、”swf播放精灵”、”美捷闹钟”等。这是一种常见的联盟式流氓推广渠道–任何流氓软件都可以参与进来,最终按照安装量从”联盟”领取报酬。

二、样本分析

近期, 一些流氓软件会静默推广”挖矿”程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的 “云计算”安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”1

安装包文件信息

安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。该程序中用户数据均为加密存放,在CRTInit中完成解密。代码如下图所示:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”2

如上图,加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base,下文中不再赘述)。完成解密后数据,如下图所示:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”4

解密后数据

解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,如下图所示:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”5

矿工信息

使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”6

登录矿池代码

当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。如下图所示:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”7

代码逻辑

三、附录

文中涉及样本SHA256:

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”8

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2017-12-06 09:26:00
云安全 入侵监狱网站篡改记录帮朋友提前释放?结果自己也进去了
Voits现在面临长达十年的监禁和25万美元的罚款。Voits不能使用所有用户攻击的设备包括:一台笔记本电脑,四部电话,一块电路板和一个未公开的比特币。 <详情>
2017-12-05 11:28:00
云安全 AWS猛然成为网络安全领域重量级新势力 正式进军万亿美元市场
随着GuardDuty的亮相,AWS成为网络安全界新进大牌。虽然AWS已经向其客户提供了一个安全平台和相关服务,该新产品还是触动了这个充斥着类似解决方案的市场。 <详情>
2017-12-05 10:15:04
市场情报 第四届成都论坛 20余位全国网信办代表考察亚信网络安全产业技术研究院
近期,第四届成都论坛如期召开,20多位各省网信办代表莅临亚信网络安全产业技术研究院(以下简称:产研院),在院长刘东红的陪同下考察城市网信相关系统并听取了详细汇报。 <详情>
2017-11-29 16:52:49
市场情报 Fortinet Security 361°安全峰会:与安全威胁与时俱进 展现智能化威胁情报方案
网络安全威胁正在变得愈发精密、复杂,要及时、精确地识别这些安全威胁并迅速采取行动,显然需要强大的威胁情报来进行支撑。在刚刚结束的Fortinet Security 361°中安全研 <详情>
2017-11-29 16:50:02
市场情报 亚信安全受邀出席2017检法信息化融创大会 综合网络安全体系保障检法信息安全
近期,2017 年检法信息化融合发展创新大会在京举行,亚信安全受邀出席了本次大会,阐述了亚信安全如何通过涵盖业务应用安全、网络综合安全、数据安全、基础安全在内的整体 <详情>