吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14219|回复: 86
收起左侧

[PC样本分析] 黑雷模拟器诱导用户下载挖矿程序 火绒提醒谨慎使用

   关闭 [复制链接]
火绒安全实验室 发表于 2021-8-31 18:25
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2021-8-31 18:25 编辑

近期,火绒工程师发现,黑雷模拟器软件借助更新后的 “助力黑雷活动”,诱导用户安装挖矿程序,并利用用户电脑进行挖矿。挖矿程序运行后,会导致系统资源长时间处于高占用的状态,致使用户电脑变卡,甚至损坏硬件设备。目前,火绒已对该软件进行拦截查杀。

Image-4.png
火绒查杀图

火绒工程师分析发现,通过黑雷模拟器官网下载安装包,在软件安装完成后首次启动会自动升级(升级内容如下图所示)。在用户升级成功打开软件时,若勾选“助力黑雷”选项后,该软件主程序会自动将一款挖矿程序下载至用户电脑中,从而利用用户电脑(显卡需为4G以上)挖矿,以此牟取利益。

Image-5.png
模拟器自动升级  
      
而查看黑雷模拟器官网可以发现,“助力黑雷活动”公告仅提及助力活动会借助用户电脑硬件和网络资源为其提供算力,而未明确告知用户所提供的算力是用于从事挖矿活动。公告内容,如下图所示:

Image-6.png
公告内容

同时,我们可以发现,不管是在软件自动更新时、“助力黑雷活动”公告中,还是在软件官网常见问题展示区,该软件运维人员均以“影响使用效果”“影响运行速度”为由,要求用户“关闭杀毒软件”。

Image-7.png
官网内容

火绒工程师提醒各位用户,尽量通过正规途径下载软件,安装软件前请使用杀毒软件进行查杀。同时请勿轻易相信,任何软件以任何借口要求关闭杀软的建议。

以下为挖矿程序的详细分析与样本hash:

一、        详细分析
模拟器主程序文件信息如下图所示:

Image-8.png
模拟器主程序信息

模拟器下载的挖矿程序文件信息如下图所示:

Image-9.png
挖矿程序信息

模拟器主程序添加了vmp壳进行保护,因此以下分析的是该主程序的内存dump文件

下载挖矿程序
用户同意助力黑雷活动后,模拟器会创建一个线程执行下载挖矿程序。首先会拼接出下载挖矿程序所需的url,如下图所示:

Image-10.png
拼接下载链接

具体链接信息如下图所示,目前仍可通过访问该url下载挖矿程序, 如下图所示:

Image-11.png
挖矿程序下载链接

同时会更新模拟器的配置文件,在配置文件中写入挖矿程序的路径,如下图所示:

Image-12.png
更新配置文件信息

配置文件更新后,调用Download_File函数,并将挖矿程序下载url和下载保存路径作为参数传入,代码如下图所示:

Image-13.png
调用本地函数

初始化网络请求并设置url请求链接,代码如下图所示:

Image-14.png
初始化url请求相关配置

调用curl_easy_perform函数进行挖矿程序下载,代码如下图所示:

Image-15.png
请求下载挖矿程序

启动挖矿程序
在模拟器下载挖矿程序完成后,会创建一个线程用于启动挖矿程序。首先会判断目标路径下是否已下载挖矿程序,如下图所示:


Image-16.png
判断挖矿程序是否存在

如果挖矿程序存在,则继续拼接命令行参数,一共进行了三次拼接,如下图所示:

Image-17.png
拼接矿池账户字符串

Image-18.png
拼接挖矿程序路径和挖矿参数

Image-19.png
拼接cmd可执行命令

然后调用CreateProcessW函数,以无窗口的模式打开Cmd命令启动挖矿程序,如下图所示

Image-20.png
以cmd启动挖矿程序

拼接得到的字符串如下:
  
Image-21.png
挖矿程序启动命令

矿工相关数据,如下图所示:

Image-22.png
矿工信息

挖矿程序运行后的效果图如下:

Image-23.png
软件运行界面

挖矿程序添加了vmp壳进行保护,因此将挖矿程序运行后抓取了内存dump通过IDA分析,可以找到挖矿程序界面显示相关字符串,如下图所示

Image-24.png
挖矿程序运行界面字符串

二、        附录

样本hash:

Image-25.png

免费评分

参与人数 43吾爱币 +37 热心值 +41 收起 理由
RustYou + 1 用心讨论,共获提升!
wldbh + 1 + 1 我很赞同!
hf11001 + 1 + 1 差点中招!
17614455669 + 1 + 1 用心讨论,共获提升!
MeTerminator + 1 + 1 鼓励转贴优秀软件安全工具和文档!
m1n9yu3 + 1 + 1 谢谢@Thanks!
xiaoan079 + 1 我很赞同!
jerrylin + 1 + 1 我很赞同!
yger + 1 + 1 谢谢@Thanks!
w0418w37 + 1 + 1 美其名曰兑换,把用户性能资源用途说清楚,看看还会有多少人参加。
he137337 + 1 + 1 谢谢@Thanks!
csxy999 + 1 + 1 我很赞同!
fsfengyun + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 我很赞同!
潋凌努力变优秀 + 1 谢谢@Thanks!
xzl9552547 + 1 热心回复!
52pojie_user_08 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
mixsen + 1 + 1 我很赞同!
nevinhappy + 1 + 1 谢谢@Thanks!
hanlaoshi + 1 + 1 谢谢@Thanks!
千城忆梦 + 2 + 1 谢谢@Thanks!
风过林静 + 1 + 1 我很赞同!
kungfu1993 + 1 + 1 谢谢@Thanks!
aisinill + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
bluesky20210721 + 1 热心回复!
lzhpolk36 + 1 我很赞同!
铜卦法王 + 1 + 1 我很赞同!
dw3137 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
RainH + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
tashiqingqing + 1 + 1 我很赞同!
锋霜 + 1 热心回复!
能注册太好了 + 1 + 1 谢谢@Thanks!
capelthwaite + 1 + 1 我很赞同!
wuaiwu77 + 1 + 1 用心讨论,共获提升!
wuyoucc + 1 + 1 火绒yyds
stardxxx + 1 + 1 热心回复!
巫人 + 1 + 1 妙啊
maixiaofeng1214 + 1 + 1 谢谢@Thanks!
lcllfj233 + 1 + 1 我很赞同!
伱の仼孒 + 1 + 1 我很赞同!
BananaProject + 1 + 1 我很赞同!
吾乃木易先生 + 1 + 1 这种祸害就要吊起来打!
thatCbin + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

sushe534 发表于 2021-9-1 09:29
黑雷最新版(2.5.25.2207)中,因加入了助力活动,容易被火绒杀毒软件误报为病毒,只需关闭火绒或将黑雷文件夹加入火绒的信任列表即可;

助力活动为用户主动参与开启,会给予用户积分奖励用来兑换VIP服务.
嘴角微微上扬 发表于 2021-9-1 08:19
这次直接把签名摆出来了,是不是因为上次那个APK修改器。哈哈哈哈。
mingyi0325 发表于 2021-9-2 00:26
bailemenmlbj 发表于 2021-9-1 10:35
中国Z F 没有有关部门来管的?
DongQi 发表于 2021-8-31 18:38
火钳刘明
willieny 发表于 2021-8-31 18:58
黑雷?是那个IOS模拟器吗?
miemie0 发表于 2021-8-31 19:07
啊这 ^^^
/│\云。 发表于 2021-8-31 19:08
不知道多少用户被挖矿
jy00240317 发表于 2021-8-31 19:27
挖空心思挖矿,哎~
pywy 发表于 2021-8-31 19:37
这是什么模拟器 没用过
hookjc 发表于 2021-8-31 19:48
好可怕  拿着平民的电脑干这事
wangyoo 发表于 2021-8-31 19:49
火钳刘名啊
lcllfj233 发表于 2021-8-31 19:53
挖矿,我的天,我小破电脑可能他们还嫌弃
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表