一、 概述

12月1日，”火絨安全實(shí)驗(yàn)室”發(fā)出警報(bào)，一款名為”云計(jì)算”的軟件，正通過(guò)各種流氓渠道大肆推廣，該軟件除了把用戶電腦當(dāng)”肉雞”進(jìn)行挖礦外，沒(méi)有任何其他功能，是一種純粹的挖礦工具（生產(chǎn)”零幣”）。而被植入”云計(jì)算”軟件的電腦，則淪為挖礦的”肉雞”，大量系統(tǒng)資源被侵占，出現(xiàn)速度變慢、發(fā)熱等異?，F(xiàn)象。

“云計(jì)算”軟件由2345公司旗下的”2345王牌技術(shù)員聯(lián)盟”進(jìn)行推廣，眾多流氓軟件通過(guò)該”聯(lián)盟”領(lǐng)取推廣任務(wù)，利用各種手段在用戶電腦上偷偷安裝該軟件，然后根據(jù)安裝量領(lǐng)取相應(yīng)的報(bào)酬。

根據(jù)”火絨威脅情報(bào)系統(tǒng)”的監(jiān)控，參與推廣”云計(jì)算”挖礦工具的流氓軟件有：”云愛(ài)PE工具箱”、”凌哥絕地求生助手V1.1.0″、”美捷便簽”、”swf播放精靈”、”美捷鬧鐘”等。這是一種常見(jiàn)的聯(lián)盟式流氓推廣渠道–任何流氓軟件都可以參與進(jìn)來(lái)，最終按照安裝量從”聯(lián)盟”領(lǐng)取報(bào)酬。

“云計(jì)算”挖礦工具使用了一些病毒團(tuán)伙常用的開(kāi)源惡意代碼，被”火絨安全軟件”直接攔截、查殺。這些惡意代碼很早就被火絨團(tuán)隊(duì)截獲、處理過(guò)，所有利用這些惡意代碼的病毒和流氓軟件，都會(huì)被火絨產(chǎn)品自動(dòng)截殺。

請(qǐng)廣大火絨用戶放心，”火絨安全軟件”無(wú)需升級(jí)，即可查殺”云計(jì)算”挖礦工具。非火絨用戶，請(qǐng)立刻通過(guò)火絨官網(wǎng)下載產(chǎn)品，清除上述流氓軟件和挖礦工具。?

二、 樣本分析

近期， 火絨發(fā)現(xiàn)一些流氓軟件會(huì)靜默推廣”挖礦”程序挖取零幣（ZCoin），該程序安裝包來(lái)自2345官網(wǎng)（jifen.2345.com）下載的 “云計(jì)算”安裝包，且安裝包帶有2345官方簽名。安裝包文件信息，如下圖所示：

安裝包文件信息

安裝包釋放的LoveCloud.exe為數(shù)字貨幣礦工程序，用于挖取零幣。該程序中用戶數(shù)據(jù)均為加密存放，在CRTInit中完成解密。代碼如下圖所示：

如上圖，加密數(shù)據(jù)偏移+4的位置存放有32位哈希值，用來(lái)進(jìn)行數(shù)據(jù)校驗(yàn)。數(shù)據(jù)驗(yàn)證有效后，調(diào)用decrypt_data_by_xor進(jìn)行抑或解密（key數(shù)據(jù)為0x78817433563212F9，解密后數(shù)據(jù)地址存放在miner_data_base，下文中不再贅述）。完成解密后數(shù)據(jù)，如下圖所示：

解密后數(shù)據(jù)

解密后數(shù)據(jù)中，存放有礦工用戶名、密碼及礦池地址等數(shù)據(jù)。礦工相關(guān)數(shù)據(jù)，如下圖所示：

礦工信息

使用礦工用戶名和密碼可以登錄礦池領(lǐng)取任務(wù)，執(zhí)行挖礦邏輯。如下圖所示：

登錄礦池代碼

當(dāng)檢測(cè)到當(dāng)前計(jì)算機(jī)CPU個(gè)數(shù)大于2時(shí)，即會(huì)開(kāi)啟挖礦邏輯。如下圖所示：

代碼邏輯

三、 附錄

文中涉及樣本SHA256：