技术分享

金山云 > 大数据 > 2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”

发布时间: 2020-01-19 12:01:03

一、概述


12月1日,一款名为”云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当”肉鸡”进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产”零币”)。而被植入”云计算”软件的电脑,则沦为挖矿的”肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。


“云计算”软件由2345公司旗下的”2345王牌技术员联盟”进行推广,众多流氓软件通过该”联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。


根据”火绒威胁情报系统”的监控,参与推广”云计算”挖矿工具的流氓软件有:”云爱PE工具箱”、”凌哥绝地求生助手V1.1.0″、”美捷便签”、”swf播放精灵”、”美捷闹钟”等。这是一种常见的联盟式流氓推广渠道–任何流氓软件都可以参与进来,最终按照安装量从”联盟”领取报酬。


二、样本分析


近期, 一些流氓软件会静默推广”挖矿”程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的 “云计算”安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”1


安装包文件信息


安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。该程序中用户数据均为加密存放,在CRTInit中完成解密。代码如下图所示:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”2


如上图,加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base,下文中不再赘述)。完成解密后数据,如下图所示:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”4


解密后数据


解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,如下图所示:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”5


矿工信息


使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”6


登录矿池代码


当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。如下图所示:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”7


代码逻辑


三、附录


文中涉及样本SHA256:


2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”8

以上就是金山云为您带来的2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”的相关内容,如果您还想了解更多2345联盟,网络安全,流氓软件挖矿,云计算技术,2345联盟通过流氓软件推广挖矿工具,,众多用户电脑沦为“肉鸡”的相关问题您可以点击页面中的链接进行具体了解。金山云提供云服务器,云主机,云存储,私有云,数据库,物理主机,RDS,KS3,SLB,KEC的全套产品服务,部分产品可以免费体验,而且会有定期的优惠、代金券等相关的活动。成立7年来,金山云始终坚持以客户为中心的服务理念,提供安全、可靠、稳定、高品质的云计算服务。以上是对2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”相关介绍,如果觉得对您有帮助可以收藏。欢迎随时查看。
以上就是金山云为您带来的大数据的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。
*免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如本站文章和转稿涉及版权等问题,请作者在及时联系本站,我们会尽快处理。

相关资讯

相关产品

相关文档