class="topic_img" alt=""/>
“火绒安全实验室”发出警报称,一款名为“云计算”的软件正通过各种流氓渠道大肆推广,但它是一种纯粹的挖矿工具,生产“零币”(ZCoin),没有任何其他功能。
而被植入这款“云计算”软件的电脑,会有大量系统资源被侵占,出现卡顿、发热等异常现象。
据悉,“云计算”软件由 2345 公司旗下的“2345 王牌技术员联盟”进行推广,众多流氓软件通过该“联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。
根据监控,参与推广“云计算”挖矿工具的流氓软件有:“云爱 PE 工具箱”、“凌哥绝地求生助手 V1.1.0”、“美捷便签”、“swf 播放精灵”、“美捷闹钟”等。
这是一种常见的联盟式流氓推广渠道——任何流氓软件都可以参与进来,最终按照安装量从“联盟”领取报酬。
下边来看具体的样本分析:
这个挖矿程序安装包来自 2345 官网(jifen.2345.com)下载的 “云计算”安装包,带有 2345 官方签名。
安装包文件信息
安装包释放的 LoveCloud.exe 为数字货币矿工程序,用于挖取零币。程序中的用户数据均为加密存放,在 CRTInit 中完成解密。
代码如下图所示:
加密数据偏移 +4 的位置存放有 32 位哈希值,用来进行数据校验。数据验证有效后,调用 decrypt_data_by_xor 进行抑或解密(key 数据为 0x78817433563212F9,解密后数据地址存放在 miner_data_base)。
解密后的数据
解密后数据中存放有矿工用户名、密码及矿池地址等数据。
矿工信息
使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。
登录矿池代码
当检测到当前计算机 CPU 个数大于 2 时,即会开启挖矿逻辑。
代码逻辑
相关文章
