12月1日,韓國主機 韓國游戲代理,一款名為”云計算”的軟件,正通過各種流氓渠道大肆推廣,該軟件除了把用戶電腦當”肉雞”進行挖礦外,新加坡主機 免備案服務器,沒有任何其他功能,是一種純粹的挖礦工具(生產”零幣”)。而被植入”云計算”軟件的電腦,則淪為挖礦的”肉雞”,大量系統資源被侵占,出現速度變慢、發熱等異常現象。
“云計算”軟件由2345公司旗下的”2345王牌技術員聯盟”進行推廣,眾多流氓軟件通過該”聯盟”領取推廣任務,利用各種手段在用戶電腦上偷偷安裝該軟件,然后根據安裝量領取相應的報酬。
根據”火絨威脅情報系統”的監控,參與推廣”云計算”挖礦工具的流氓軟件有:”云愛PE工具箱”、”凌哥絕地求生助手V1.1.0″、”美捷便簽”、”swf播放精靈”、”美捷鬧鐘”等。這是一種常見的聯盟式流氓推廣渠道–任何流氓軟件都可以參與進來,最終按照安裝量從”聯盟”領取報酬。
二、樣本分析
近期, 一些流氓軟件會靜默推廣”挖礦”程序挖取零幣(ZCoin),該程序安裝包來自2345官網(jifen.2345.com)下載的 “云計算”安裝包,且安裝包帶有2345官方簽名。安裝包文件信息,如下圖所示:
安裝包文件信息
安裝包釋放的LoveCloud.exe為數字貨幣礦工程序,用于挖取零幣。該程序中用戶數據均為加密存放,在CRTInit中完成解密。代碼如下圖所示:
如上圖,加密數據偏移+4的位置存放有32位哈希值,用來進行數據校驗。數據驗證有效后,調用decrypt_data_by_xor進行抑或解密(key數據為0x78817433563212F9,解密后數據地址存放在miner_data_base,下文中不再贅述)。完成解密后數據,如下圖所示:
解密后數據
解密后數據中,存放有礦工用戶名、密碼及礦池地址等數據。礦工相關數據,如下圖所示:
礦工信息
使用礦工用戶名和密碼可以登錄礦池領取任務,執行挖礦邏輯。如下圖所示:
登錄礦池代碼
當檢測到當前計算機CPU個數大于2時,即會開啟挖礦邏輯。如下圖所示:
代碼邏輯
三、附錄
文中涉及樣本SHA256:
