红楼主 首页 科技 查看内容

2345联盟通过流氓软件推广挖矿工具,让用户电脑成肉鸡

2017/12/2 11:17| 发布者: 类乌齐| 查看: 120| 评论: 0|来自: cnbeta

今日火绒安全实验室发出警报,一款名为“云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当“肉鸡“进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产“零币”)。而被植入“云计算”软件的电脑,则沦为挖矿的“肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。
据了解,“云计算”软件由2345公司旗下的“2345王牌技术员联盟”进行推广,众多流氓软件通过该“联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。
参与推广“云计算”挖矿工具的流氓软件有:“云爱PE工具箱”、“凌哥绝地求生助手V1.1.0"、“美捷便签”、“swf播放精灵”、“美捷闹钟”等。这是一种常见的联盟式流氓推广渠道——任何流氓软件都可以参与进来,最终按照安装量从“联盟”领取报酬。
“云计算”挖矿工具使用了一些病毒团伙常用的开源恶意代码。
挖矿程序安装包来自2345官网(jifen.2345.com)下载的 “云计算”安装包,带有2345官方签名:

安装包文件信息
安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。程序中的用户数据均为加密存放,在CRTInit中完成解密。
代码如下图所示:

加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base)。

解密后的数据
解密后数据中存放有矿工用户名、密码及矿池地址等数据。

矿工信息
使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。

登录矿池代码
当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。

代码逻辑

相关分类

柳网仅提供信息存储服务,其内容均由服务对象提供。 根据《信息网络传播权保护条例》,部分内容可能应权利人通知未予显示,请点击这里查看。