2017.12.01   Android APP > 看点  
👁 25823    ️ ✿ 注册/权限   ★ 账号中心

2345流氓软件把用户电脑变为挖矿肉鸡

本文原标题:"2345联盟"通过流氓软件推广挖矿工具 用户电脑沦为"肉鸡",来自火绒实验室。

一、概述

12月1日,"火绒安全实验室"发出警报,一款名为"云计算"的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当"肉鸡"进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产"零币")。而被植入"云计算"软件的电脑,则沦为挖矿的"肉鸡",大量系统资源被侵占,出现速度变慢、发热等异常现象。

"云计算"软件由2345公司旗下的"2345王牌技术员联盟"进行推广,众多流氓软件通过该"联盟"领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。

根据"火绒威胁情报系统"的监控,参与推广"云计算"挖矿工具的流氓软件有:"云爱PE工具箱"、"凌哥绝地求生助手V1.1.0"、"美捷便签"、"swf播放精灵"、"美捷闹钟"等。这是一种常见的联盟式流氓推广渠道--任何流氓软件都可以参与进来,最终按照安装量从"联盟"领取报酬。

"云计算"挖矿工具使用了一些病毒团伙常用的开源恶意代码,被"火绒安全软件"直接拦截、查杀。这些恶意代码很早就被火绒团队截获、处理过,所有利用这些恶意代码的病毒和流氓软件,都会被火绒产品自动截杀。

请广大火绒用户放心,"火绒安全软件"无需升级,即可查杀"云计算"挖矿工具。非火绒用户,请立刻通过火绒官网下载产品,清除上述流氓软件和挖矿工具。

二、样本分析

近期,火绒发现一些流氓软件会静默推广"挖矿"程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的"云计算"安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:

用户安装2345流氓软件后电脑成为挖矿肉鸡

▲安装包文件信息

安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。该程序中用户数据均为加密存放,在CRTInit中完成解密。代码如下图所示:

用户安装2345流氓软件后电脑成为挖矿肉鸡

如上图,加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base,下文中不再赘述)。完成解密后数据,如下图所示:

用户安装2345流氓软件后电脑成为挖矿肉鸡

▲解密后数据

解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,如下图所示:

用户安装2345流氓软件后电脑成为挖矿肉鸡

▲矿工信息

使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:

用户安装2345流氓软件后电脑成为挖矿肉鸡

▲登录矿池代码

当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。如下图所示:

用户安装2345流氓软件后电脑成为挖矿肉鸡
▲代码逻辑

三、附录

文中涉及样本SHA256:
用户安装2345流氓软件后电脑成为挖矿肉鸡

老殁吐槽

2345的软件,老殁基本不会使用,其中的看图王也只能使用修改后的版版本。

当年上海瑞创的多特软件站就有涉足黑产作恶,好压一开始也是非常优秀的压缩软件,后来慢慢变质,2011年上海瑞创还因为侵权赔偿了微软3600万,后来2345通过网址导航和装机联盟推广,越做越大,现在的2345全家桶已经超越了当年的奇虎360,稳居国内流氓软件宝座。

殁漂遥shaoit.com

后来一直想居上的百度全家桶因为公司名声太大还会有点收敛,2345靠着众多的电脑维修店铺、电脑城装机人员,把2345网址导航和2345全家桶软件装到了用户电脑上,并且公司都弄上市了。

上市后的2345,生怕别人不知道自己是上市了,导出都是上市广告。

殁漂遥shaoit.com 殁漂遥shaoit.com

软件也改名成为各种王,还顺带推出了浏览器、输入法和安全软件。

殁漂遥shaoit.com

我觉得吧,大家心里应该都有数,我就不多言表了。

老殁忠告:资源具有时效性,时间久了可能会失效,虚拟资源可复制,一经售出概不退,请深思后再确认下载
🐧 QQ 群
💌 失 效 反 馈
♻️ 账 号 权 限
👍 点 赞 支 持

相关推荐

发表评论

账号权限在注册前已写明
  1. jinyudz 125.39.239.60 Win10+ Chrome 62.0.3202.94  Δ1楼 2017-12-02 5:22:38
    看见2345就恶心,真的。一直没用过。360也早就卸载了,现在压缩用7-zip。防护软件用WiseCare365三用户正版。
  2. liyouqian 172.68.46.185 Win7 Chrome 55.0.2883.87  Δ2楼 2017-12-02 1:10:42
    被好123劫持有一个最简单但最有效的方法 虽然有点蠢 就是找到你的浏览器.exe 比如 360chrome 那你在360chrome后面加上一个数字 随便一个 比如360chrome1 然后创建快捷方式就好了 保证恶心的123再也劫持不了你 然后快捷方式就可以随便修改为你喜欢的名字了
    • 游侠 42.236.93.21 Linux Chrome 33.0.0.0  ∇地下1层 2017-12-02 21:09:23
      可以百度搜索被劫持的网址,然后会有一个帖子。帖子里面附加的有教程。大致内容是下载一个微软的编辑工具(工具我记不太清,图标是模模糊糊的,很长的名字),然后在这个工具里操作一下就好。
  3. 141.101.105.210 Win7 Chrome 62.0.3202.94  Δ3楼 2017-12-02 0:48:15
    讲真 很难理解那些用官方渠道安装国产软件的人
  4. 升平 115.231.186.42 Win7 Chrome 48.0.2564.116  Δ4楼 2017-12-01 22:51:05
    正在用2345好压,不过我装了大蜘蛛,一般病毒不可能侵害我的电脑.......还是默默点了卸载,好压再见
  5. 听荧 115.231.186.66 Win7 Chrome 55.0.2883.87  Δ5楼 2017-12-01 22:36:32
    我没用过2345的产品,没被毒害过,我没用过hao123的产品,但浏览器启动页总被hao123篡改,幸好360极速浏览器自带的浏览器医生给力,每次都帮我去掉了hao123这个毒瘤,虽然这个毒瘤过一段时间又会回来。
    • 武藤 42.236.93.26 Android7 Chrome 61.0.3163.98  ∇地下1层 2017-12-01 22:54:56
      有可能是其他软件作恶,把hao123变为了你的浏览器主页,你仔细看,hao123的网址后面肯定跟着一串id号,这就是流氓软件作者的推广标识。

您必须 [ 登录 ] 才能发表留言!(因假邮箱IP、攻击泛滥,暂时停止游客评论)