2345联盟通过流氓软件推矿工，多台电脑变成肉鸡

您的浏览器不支持html5

二三四五（002195)

火融实验室称，一款打着2345旗号的软件会通过传播偷偷占用被黑电脑的资源进行挖矿，生产“零币”。植入这种“云计算”软件的电脑会占用大量系统资源，出现死机、发热等异常现象。

以下为Tinder Lab原文：

一、概览

12 月 1 日，“Tinder 安全实验室”发布警报挖矿计算软件，称正在通过各种流氓渠道推广一款名为“云计算”的软件。除了把用户的电脑当做挖矿的“肉鸡”之外，它没有任何其他功能，是一个纯粹的挖矿工具（产生“Zcoin”）。植入“云计算”软件的电脑成为挖矿的“肉鸡”，大量系统资源被占用，出现卡顿、过热等异常现象。

“云计算”软件由2345公司旗下的“2345王牌技师联盟”推广。很多流氓软件通过“联盟”接受推广任务，利用各种手段偷偷将软件安装到用户电脑上挖矿计算软件，然后按照安装的方式安装软件。获得相应的报酬。

根据“Tinder威胁情报系统”监测，参与推广“云计算”挖矿工具的流氓软件包括：《云奈PE工具箱》、《灵歌PUBG Mobile》1.1.0”、“美杰笔记”、“Swf 播放精灵”、“美杰闹钟”等。这是一个常见的会员式流氓推广渠道——任何流氓软件都可以参与并最终从“会员”那里获得报酬根据安装次数。

“云计算”挖矿工具使用了一些病毒团伙常用的开源恶意代码，被“火融安全软件”直接拦截并查杀。这些恶意代码已经被火融团队截获处理了很长时间。所有使用这些恶意代码的病毒和流氓软件都会被火融产品自动拦截。

请放心，火融用户无需升级“火融安全软件”即可查杀“云计算”挖矿工具。非火融用户请立即到火融官网下载产品，清除上述流氓软件和挖矿工具。

二、样本分析

最近，火融发现一些流氓软件会默默宣传“挖矿”程序来挖ZCoin。程序安装包来自2345官网（jifen.2345.com）下载的“云计算”。安装包，安装包有2345官方签名。安装包文件信息，如下图：

安装包文件信息

安装包发布的LoveCloud.exe是一个用于挖掘Zcoin的数字货币矿工程序。本程序中的用户数据全部加密存储，解密在CRTInit中完成。代码如下：

如上图所示，加密后的数据偏移+4位置存储了一个32位的哈希值，用于数据校验。数据校验有效后，调用decrypt_data_by_xor执行或解密（关键数据为0x78817433563212F9，解密后的数据地址存放在miner_data_base中，以下不再赘述）。解密完成后的数据，如下图所示：

解密数据

解密后的数据中存储了矿工的用户名、密码和矿池地址。矿工相关数据，如下图：

矿工信息

使用矿工的用户名和密码，可以登录矿池接收任务，执行挖矿逻辑。如下图：

登录矿池代码

当检测到当前计算机CPU数大于2时，会开启挖矿逻辑。如下图：

代码逻辑

三、附录

文中涉及示例SHA256：

SHA256

fd81c0a514e0b0d24b648361393147dcd485ae9999d76bf97eddf295aa85b178

eb7362a40ae29817cc0d369aa15f21eac4655a5199b52c1ea74c46ada309cf3f