“2345联盟”通过流氓软件推广挖矿工具 众多用户电脑沦为“肉鸡”
本帖最后由 此生长唸 于 2017-12-1 19:43 编辑一、概述
12月1日,"火绒安全实验室"发出警报,一款名为"云计算"的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当"肉鸡"进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产"零币")。而被植入"云计算"软件的电脑,则沦为挖矿的"肉鸡",大量系统资源被侵占,出现速度变慢、发热等异常现象。
"云计算"软件由2345公司旗下的"2345王牌技术员联盟"进行推广,众多流氓软件通过该"联盟"领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。
根据"火绒威胁情报系统"的监控,参与推广"云计算"挖矿工具的流氓软件有:"云爱PE工具箱"、"凌哥绝地求生助手V1.1.0"、"美捷便签"、"swf播放精灵"、"美捷闹钟"等。这是一种常见的联盟式流氓推广渠道--任何流氓软件都可以参与进来,最终按照安装量从"联盟"领取报酬。
"云计算"挖矿工具使用了一些病毒团伙常用的开源恶意代码,被"火绒安全软件"直接拦截、查杀。这些恶意代码很早就被火绒团队截获、处理过,所有利用这些恶意代码的病毒和流氓软件,都会被火绒产品自动截杀。
请广大火绒用户放心,"火绒安全软件"无需升级,即可查杀"云计算"挖矿工具。非火绒用户,请立刻通过火绒官网下载产品,清除上述流氓软件和挖矿工具。
二、样本分析
近期, 火绒发现一些流氓软件会静默推广"挖矿"程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的 "云计算"安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:
安装包文件信息安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。该程序中用户数据均为加密存放,在CRTInit中完成解密。代码如下图所示:
如上图,加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base,下文中不再赘述)。完成解密后数据,如下图所示:
解密后数据解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,如下图所示:
矿工信息使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:
登录矿池代码当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。如下图所示:
代码逻辑
三、附录
文中涉及样本SHA256:
第二步、安装2345一键安装合集标准版(下载安装时文件名请勿修改);
1、如果您是装机、电脑维修人员,在客户允许的情况下在其电脑上下载安装2345软件并设您的推广链接为上网主页(推荐您下载安装2345一键安装合集标准版);
2、如果您是企业、网吧网管,在您管理维护的电脑上下载安装2345软件并设您的推广链接为上网主页(推荐您下载安装2345一键安装合集标准版)。
第三步、兑换现金或礼品。
当您通过推广安装2345获得的可用余额达到一定的数额(最低5元),您就可以到换礼品兑换礼品啦。
怎么兑换现金礼包?
怎么兑换实物礼品?
怎么兑换虚拟礼品?
另,建议您进行如下操作:
1、下载安装2345一键安装合集标准版后,一键安装所有的2345推广软件,并将电脑中所有的浏览器主页都设置为您的推广链接;
2、将您的推广链接加入各个浏览器的收藏夹中,这样可以从多个地方让客户能访问到您的推广链接;
3、使用2345安全卫士保护您的主页,确保主页不被轻易篡改!
4、不要安装金山毒霸和金山卫士之类的软件,以防止主页被篡改!杀毒软件可以安装小红伞、电脑管家等软件。详情请查看:xxx
2345官网和线下的套路! 感谢楼主分享 这个可以在任务管理区发现吗?
最恨流氓软件 如何快速检测是否中招? 怎么快递发现自己电脑中招啊
黑产新思路? 2345这个毒瘤 涨价福利来啦!10月16日-11月20日,云计算涨价至0.03元/台(原0.02元/台),涨幅达50%,每天持续计费, 多推多赚! 点击查看详情>>
云计算软件是利用电脑闲时的CPU做运算(用户玩游戏、看视频等使用CPU较多时会自动停止运行),经过严格测试,不会影响用户正常使用电脑;无广告弹窗,开机自动启动。
· 计费规则:
计费公式 (单位:元)
信誉 每天获得收入
所有信誉星级
有效台数×0.02元
(涨价期间0.03元/有效台数)
云计算每天的收入在次日起的第二个工作日发放。
推广的地方 复制来的 要不作恶啊{:301_977:}