一款名为“云计算”的流氓软件现正到处传播偷挖零币(ZCoin)

显示全部楼层 · 发表于 2017-12-2 09:06:21

“火绒安全实验室”发出警报称，一款名为“云计算”的软件正通过各种流氓渠道大肆推广，但它是一种纯粹的挖矿工具，生产“零币”(ZCoin)，没有任何其他功能。
而被植入这款“云计算”软件的电脑，会有大量系统资源被侵占，出现卡顿、发热等异常现象。
据悉，“云计算”软件由2345公司旗下的“2345王牌技术员联盟”进行推广，众多流氓软件通过该“联盟”领取推广任务，利用各种手段在用户电脑上偷偷安装该软件，然后根据安装量领取相应的报酬。
根据监控，参与推广“云计算”挖矿工具的流氓软件有：“云爱PE工具箱”、“凌哥绝地求生助手V1.1.0”、“美捷便签”、“swf播放精灵”、“美捷闹钟”等。
这是一种常见的联盟式流氓推广渠道——任何流氓软件都可以参与进来，最终按照安装量从“联盟”领取报酬。

4a3c0004c7278376eda9.jpg

下边来看具体的样本分析：
这个挖矿程序安装包来自2345官网(jifen.2345.com)下载的 “云计算”安装包，带有2345官方签名。

4a410004ba15bc8ff78c.jpg

安装包文件信息
安装包释放的LoveCloud.exe为数字货币矿工程序，用于挖取零币。程序中的用户数据均为加密存放，在CRTInit中完成解密。
代码如下图所示：

4a4200041cf3331c5270.jpg

加密数据偏移+4的位置存放有32位哈希值，用来进行数据校验。数据验证有效后，调用decrypt_data_by_xor进行抑或解密（key数据为0x78817433563212F9，解密后数据地址存放在miner_data_base）。

4a40000840b4788cc5e9.jpg

解密后的数据
解密后数据中存放有矿工用户名、密码及矿池地址等数据。

4a40000840b5384198ba.jpg

矿工信息
使用矿工用户名和密码可以登录矿池领取任务，执行挖矿逻辑。

4cfb00022df95be52d42.jpg

登录矿池代码
当检测到当前计算机CPU个数大于2时，即会开启挖矿逻辑。

4a410004ba16d020d368.jpg

代码逻辑

发表于 2017-12-2 16:19:07

大家都看看，一定要小心。

发表于 2017-12-2 21:02:18

小心点吧，360行

发表于 2017-12-3 00:44:40

什么世道

发表于 2017-12-3 01:16:59

看不明白

发表于 2017-12-3 06:35:46

时刻小心

发表于 2017-12-3 15:19:53

防不胜防

发表于 2017-12-4 18:41:19

原版好多了安装的好压是2345的都不敢用了呵呵

发表于 2017-12-4 20:05:20

这个黑

发表于 2017-12-21 01:54:11

好怕啊，好怕哟

一款名为“云计算”的流氓软件 现正到处传播偷挖零币(ZCoin)

相关帖子

一款名为“云计算”的流氓软件现正到处传播偷挖零币(ZCoin)