"2345聯(lián)盟"通過(guò)流氓軟件推廣挖礦工具 用戶電腦淪為"肉雞"

一、 概述
12月1日,”火絨安全實(shí)驗(yàn)室”發(fā)出警報(bào),一款名為”云計(jì)算”的軟件,正通過(guò)各種流氓渠道大肆推廣,該軟件除了把用戶電腦當(dāng)”肉雞”進(jìn)行挖礦外,沒(méi)有任何其他功能,是一種純粹的挖礦工具(生產(chǎn)”零幣”)。而被植入”云計(jì)算”軟件的電腦,則淪為挖礦的”肉雞”,大量系統(tǒng)資源被侵占,出現(xiàn)速度變慢、發(fā)熱等異?,F(xiàn)象。
“云計(jì)算”軟件由2345公司旗下的”2345王牌技術(shù)員聯(lián)盟”進(jìn)行推廣,眾多流氓軟件通過(guò)該”聯(lián)盟”領(lǐng)取推廣任務(wù),利用各種手段在用戶電腦上偷偷安裝該軟件,然后根據(jù)安裝量領(lǐng)取相應(yīng)的報(bào)酬。
根據(jù)”火絨威脅情報(bào)系統(tǒng)”的監(jiān)控,參與推廣”云計(jì)算”挖礦工具的流氓軟件有:”云愛(ài)PE工具箱”、”凌哥絕地求生助手V1.1.0″、”美捷便簽”、”swf播放精靈”、”美捷鬧鐘”等。這是一種常見(jiàn)的聯(lián)盟式流氓推廣渠道–任何流氓軟件都可以參與進(jìn)來(lái),最終按照安裝量從”聯(lián)盟”領(lǐng)取報(bào)酬。
“云計(jì)算”挖礦工具使用了一些病毒團(tuán)伙常用的開(kāi)源惡意代碼,被”火絨安全軟件”直接攔截、查殺。這些惡意代碼很早就被火絨團(tuán)隊(duì)截獲、處理過(guò),所有利用這些惡意代碼的病毒和流氓軟件,都會(huì)被火絨產(chǎn)品自動(dòng)截殺。
請(qǐng)廣大火絨用戶放心,”火絨安全軟件”無(wú)需升級(jí),即可查殺”云計(jì)算”挖礦工具。非火絨用戶,請(qǐng)立刻通過(guò)火絨官網(wǎng)下載產(chǎn)品,清除上述流氓軟件和挖礦工具。?
二、 樣本分析
近期, 火絨發(fā)現(xiàn)一些流氓軟件會(huì)靜默推廣”挖礦”程序挖取零幣(ZCoin),該程序安裝包來(lái)自2345官網(wǎng)(jifen.2345.com)下載的 “云計(jì)算”安裝包,且安裝包帶有2345官方簽名。安裝包文件信息,如下圖所示:

安裝包文件信息
安裝包釋放的LoveCloud.exe為數(shù)字貨幣礦工程序,用于挖取零幣。該程序中用戶數(shù)據(jù)均為加密存放,在CRTInit中完成解密。代碼如下圖所示:

如上圖,加密數(shù)據(jù)偏移+4的位置存放有32位哈希值,用來(lái)進(jìn)行數(shù)據(jù)校驗(yàn)。數(shù)據(jù)驗(yàn)證有效后,調(diào)用decrypt_data_by_xor進(jìn)行抑或解密(key數(shù)據(jù)為0x78817433563212F9,解密后數(shù)據(jù)地址存放在miner_data_base,下文中不再贅述)。完成解密后數(shù)據(jù),如下圖所示:

解密后數(shù)據(jù)
解密后數(shù)據(jù)中,存放有礦工用戶名、密碼及礦池地址等數(shù)據(jù)。礦工相關(guān)數(shù)據(jù),如下圖所示:

礦工信息
使用礦工用戶名和密碼可以登錄礦池領(lǐng)取任務(wù),執(zhí)行挖礦邏輯。如下圖所示:

登錄礦池代碼
當(dāng)檢測(cè)到當(dāng)前計(jì)算機(jī)CPU個(gè)數(shù)大于2時(shí),即會(huì)開(kāi)啟挖礦邏輯。如下圖所示:

代碼邏輯
三、 附錄
文中涉及樣本SHA256:
