12月1日，韓國主機 韓國游戲代理，一款名為”云計算”的軟件，正通過各種流氓渠道大肆推廣，該軟件除了把用戶電腦當(dāng)”肉雞”進行挖礦外，新加坡主機 免備案服務(wù)器，沒有任何其他功能，是一種純粹的挖礦工具（生產(chǎn)”零幣”）。而被植入”云計算”軟件的電腦，則淪為挖礦的”肉雞”，大量系統(tǒng)資源被侵占，出現(xiàn)速度變慢、發(fā)熱等異常現(xiàn)象。

“云計算”軟件由2345公司旗下的”2345王牌技術(shù)員聯(lián)盟”進行推廣，眾多流氓軟件通過該”聯(lián)盟”領(lǐng)取推廣任務(wù)，利用各種手段在用戶電腦上偷偷安裝該軟件，然后根據(jù)安裝量領(lǐng)取相應(yīng)的報酬。

根據(jù)”火絨威脅情報系統(tǒng)”的監(jiān)控，參與推廣”云計算”挖礦工具的流氓軟件有：”云愛PE工具箱”、”凌哥絕地求生助手V1.1.0″、”美捷便簽”、”swf播放精靈”、”美捷鬧鐘”等。這是一種常見的聯(lián)盟式流氓推廣渠道–任何流氓軟件都可以參與進來，最終按照安裝量從”聯(lián)盟”領(lǐng)取報酬。

二、樣本分析

近期， 一些流氓軟件會靜默推廣”挖礦”程序挖取零幣（ZCoin），該程序安裝包來自2345官網(wǎng)（jifen.2345.com）下載的 “云計算”安裝包，且安裝包帶有2345官方簽名。安裝包文件信息，如下圖所示：

安裝包文件信息

安裝包釋放的LoveCloud.exe為數(shù)字貨幣礦工程序，用于挖取零幣。該程序中用戶數(shù)據(jù)均為加密存放，在CRTInit中完成解密。代碼如下圖所示：

如上圖，加密數(shù)據(jù)偏移+4的位置存放有32位哈希值，用來進行數(shù)據(jù)校驗。數(shù)據(jù)驗證有效后，調(diào)用decrypt_data_by_xor進行抑或解密（key數(shù)據(jù)為0x78817433563212F9，解密后數(shù)據(jù)地址存放在miner_data_base，下文中不再贅述）。完成解密后數(shù)據(jù)，如下圖所示：

解密后數(shù)據(jù)

解密后數(shù)據(jù)中，存放有礦工用戶名、密碼及礦池地址等數(shù)據(jù)。礦工相關(guān)數(shù)據(jù)，如下圖所示：

礦工信息

使用礦工用戶名和密碼可以登錄礦池領(lǐng)取任務(wù)，執(zhí)行挖礦邏輯。如下圖所示：

登錄礦池代碼

當(dāng)檢測到當(dāng)前計算機CPU個數(shù)大于2時，即會開啟挖礦邏輯。如下圖所示：

代碼邏輯

三、附錄

文中涉及樣本SHA256：