搜索
查看: 5304|回复: 62
收起左侧

[IT业界] 国产流氓软件联盟无下限:四处散播挖矿工具

  [复制链接]
蓝天二号
发表于 2017-12-2 07:48:20 | 显示全部楼层 |阅读模式
“火绒安全实验室”发出警报称,一款名为“云计算”的软件正通过各种流氓渠道大肆推广,但它是一种纯粹的挖矿工具,生产“零币”(ZCoin),没有任何其他功能。

而被植入这款“云计算”软件的电脑,会有大量系统资源被侵占,出现卡顿、发热等异常现象。

据悉,“云计算”软件由2345公司旗下的“2345王牌技术员联盟”进行推广,众多流氓软件通过该“联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。

根据监控,参与推广“云计算”挖矿工具的流氓软件有:“云爱PE工具箱”、“凌哥绝地求生助手V1.1.0”、“美捷便签”、“swf播放精灵”、“美捷闹钟”等。
这是一种常见的联盟式流氓推广渠道——任何流氓软件都可以参与进来,最终按照安装量从“联盟”领取报酬。
5F1583C0-460F-4937-9B3E-47AA205DB830.jpeg
下边来看具体的样本分析:


这个挖矿程序安装包来自2345官网(jifen.2345.com)下载的 “云计算”安装包,带有2345官方签名。
CFC3F002-314A-44B5-9162-6F844B264C5A.jpeg
安装包释放的LoveCloud.exe为数字货币矿工程序,用于挖取零币。程序中的用户数据均为加密存放,在CRTInit中完成解密。
代码如下图所示:
720A2A59-AD59-49D7-8E68-3A6104965A37.jpeg
加密数据偏移+4的位置存放有32位哈希值,用来进行数据校验。数据验证有效后,调用decrypt_data_by_xor进行抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base)。
B8ED29BE-A7E4-402A-8942-44EA8C5F5B71.jpeg
解密后数据中存放有矿工用户名、密码及矿池地址等数据。
79A2A4F5-7D78-4E29-AE67-80CEACC02DEB.jpeg
使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。
08855FE1-091C-42EC-A021-21ABADD1BF02.jpeg
当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。
5C447E6D-8F9B-49BE-AC23-E72CFA2B0B81.jpeg

评分

参与人数 1经验 +11 收起 理由
Tarchia + 11

查看全部评分

lanpor
发表于 2017-12-2 08:01:06 | 显示全部楼层
2345想来都是流氓
王大灭火器
发表于 2017-12-2 08:40:16 来自手机 | 显示全部楼层
讲不好2345旗下的软件也带得有,赶紧卸载2345输入法
zitianoo
发表于 2017-12-2 09:02:59 来自手机 | 显示全部楼层
玩金花拿到2345这样的顺子是绝逼高兴,但是软件嘛……
KK院长
发表于 2017-12-2 10:05:46 | 显示全部楼层
2345官方数字签名我也醉了。。。
蜀山小剑侠
发表于 2017-12-2 10:41:54 来自手机 | 显示全部楼层
强烈谴责2345的流氓行为,还有2345强锁主页流氓式推广,这样的公司早就该关闭了l!

评分

参与人数 1人气 +1 收起 理由
sadfish5 + 1 根据版规,加1分以示鼓励

查看全部评分

xayuhua
发表于 2017-12-2 12:41:27 | 显示全部楼层
2345旗下的软件赶紧卸载
夜神_悦
发表于 2017-12-2 13:16:45 | 显示全部楼层
KK院长 发表于 2017-12-2 10:05
2345官方数字签名我也醉了。。。

因为“云计算”这款软件是2345技术员联盟推荐装机员推广的软件,11-12月是把别的软件装机费用降低,把“云计算”的装机费用提高的推荐时期,本身就是2345的官方行为
Tyche116
发表于 2017-12-2 13:43:52 | 显示全部楼层
流氓真多  
sivrll
发表于 2017-12-2 13:57:46 | 显示全部楼层
2345、hao123这种东西迟早会把自己弄进去的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-12-12 08:50 , Processed in 0.270754 second(s), 9 queries , MemCached On.

快速回复 返回顶部 返回列表