1. 首页
  2. 文章列表
  3. "2345联盟"通过流氓软件推广挖矿工具 用户电脑沦为"肉鸡"


一、概述

  12月1日,"火绒安全实验室"发出警报,一款名为"云计算"的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当"肉鸡"进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产"零币")。而被植入"云计算"软件的电脑,则沦为挖矿的"肉鸡",大量系统资源被侵占,出现速度变慢、发热等异常现象。
  "云计算"软件由2345公司旗下的"2345王牌技术员联盟"进行推广,众多流氓软件通过该"联盟"领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。
  根据"火绒威胁情报系统"的监控,参与推广"云计算"挖矿工具的流氓软件有:"云爱PE工具箱"、"凌哥绝地求生助手V1.1.0"、"美捷便签"、"swf播放精灵"、"美捷闹钟"等。这是一种常见的联盟式流氓推广渠道--任何流氓软件都可以参与进来,最终按照安装量从"联盟"领取报酬。
  "云计算"挖矿工具使用了一些病毒团伙常用的开源恶意代码,被"火绒安全软件"直接拦截、查杀。这些恶意代码很早就被火绒团队截获、处理过,所有利用这些恶意代码的病毒和流氓软件,都会被火绒产品自动截杀。
  请广大火绒用户放心,"火绒安全软件"无需升级,即可查杀"云计算"挖矿工具。非火绒用户,请立刻通过火绒官网下载产品,清除上述流氓软件和挖矿工具。

二、样本分析

  近期,火绒发现一些流氓软件会静默推广"挖矿"程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的"云计算"安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:

▲安装包文件信息

  安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。该程序中用户数据均为加密存放,在CRTInit中完成解密。代码如下图所示:

  如上图,加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base,下文中不再赘述)。完成解密后数据,如下图所示:

▲解密后数据

  解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,如下图所示:

▲矿工信息

  使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:

▲登录矿池代码

  当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。如下图所示:

▲代码逻辑


三、附录

  文中涉及样本SHA256:

样本分析来源于火绒实验室

博主吐槽

2345的软件,博主基本不会使用,其中的看图王也只能是使用修改后的版版本。

当年上海瑞创的多特软件站就有涉足黑产作恶,好压一开始也是非常优秀的压缩软件,后来慢慢变质,2011年上海瑞创还因为侵权赔偿了微软3600万,后来2345通过网址导航和装机联盟推广,越做越大,现在的2345全家桶已经超越了当年的奇虎360,稳居国内流氓软件宝座。

懒得勤快的博客_全栈开发者_互联网分享精神

后来一直想居上的百度全家桶因为公司名声太大还会有点收敛,2345靠着众多的电脑维修店铺、电脑城装机人员,把2345网址导航和2345全家桶软件装到了用户电脑上,并且公司都弄上市了。

上市后的2345,生怕别人不知道自己是上市了,导出都是上市广告。

懒得勤快的博客_全栈开发者_互联网分享精神

懒得勤快的博客_全栈开发者_互联网分享精神

软件也改名成为各种王,还顺带推出了浏览器、输入法和安全软件。

懒得勤快的博客_全栈开发者_互联网分享精神

我觉得吧,大家心里应该都有数,我就不多言表了。

分享到:

文章历史版本:

修改次数:1 次 查看历史版本

版权声明:

本文仅用于学习、研究和交流目的,欢迎非商业性质转载。本文链接:https://masuit.com/145

l  博主在此发文(包括但不限于汉字、拼音、拉丁字母)均为随意敲击键盘所出,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能,并不代表本人局部或全部同意、支持或者反对观点。如需要详查请直接与键盘生产厂商法人代表联系。挖井挑水无水表,不会网购无快递。

l  文章内容部分来源于互联网,不代表本人的任何立场;涉及到的软件来源于互联网,仅供个人下载使用,请勿用于商业用途,版权归软件开发者所有,下载后请于24小时内删除,如有真实需要请支持正版!因下载本站任何资源造成的损失,全部责任由使用者本人承担!如果你是版权方,认为本文内容对您的权益有所侵犯,请联系博主,并参照侵删联系的说明提交相应的证明材料,待博主进行严格地审查和背景调查后,情况属实的将在三天内将本文删除或修正。

l  博主的文章没有高度、深度和广度,只是凑字数。由于博主的水平不高(其实是个菜B),不足和错误之处在所难免,希望大家能够批评指出。

l  博主是利用读书、参考、引用、抄袭、复制和粘贴等多种方式打造成自己的纯镀 24k 文章,请原谅博主成为一个无耻的文档搬运工!

l  博主只是一名普通的互联网从业者,不懂修电脑,不会卖电脑,不会帮你盗号,不会破解开机密码,找不回你丢失的手机等,如有这样的想法请绕道!

相关推荐:

经典面试题:浏览器地址栏输入网址后都发生了哪些事情? 三分钟让你理解云计算到底是怎么一回事
拿下Adobe中国代理的思杰马克丁其实是一家“流氓”公司 著名的Adobe Flash是怎么变成流氓软件的?
一些常用的免费公共DNS推荐 揭开软件行业毒瘤思杰马克丁的虚伪面纱——墨雨
思维导图 XMind 官方澄清与苏州思杰马克丁代理合作 现代企业级互联网应用的架构演变(一步一步打造出高性能的web应用)
思杰马克丁软件微博运营博主,独自舌战群雄不落下风! 思杰马克丁表情包

评论区:

    还没有评论哦,赶紧来写评论吧