火绒安全性实验室收到警报称之为,一款取名为云计算的软件于是以通过各种流氓渠道肆意推展,但它是一种纯粹的挖矿工具,生产零币(ZCoin),没任何其他功能。
而被植入这款云计算软件的电脑,不会有大量系统资源被强占,经常出现卡顿、痉挛等异常现象。据报,云计算软件由2345公司旗下的2345王牌技术员联盟展开推展,众多流氓软件通过该联盟发给推展任务,利用各种手段在用户电脑上偷偷地加装该软件,然后根据加装量发给适当的报酬。根据监控,参予推展云计算挖矿工具的流氓软件有:云爱PE工具箱、凌哥尤达求生存助手V1.1.0、美捷便签、swf播出精灵、美捷闹钟等。这是一种少见的联盟式流氓推展渠道任何流氓软件都可以参予进去,惜按照加装量从联盟发给报酬。下边来看明确的样本分析:这个挖矿程序安装包在来自2345官网(jifen.2345.com)iTunes的 云计算安装包,具有2345官方亲笔签名。
安装包文件信息安装包获释的LoveCloud.exe为数字货币矿工程序,用作挖取零币。程序中的用户数据皆为加密存放在,在CRTInit中已完成解密。
代码如下图右图:加密数据位移+4亚博集团平台的方位存放在有32位哈希值,用来展开数据校验。数据检验有效地后,调用decrypt_data_by_xor展开抑或解密(key数据为0x78817433563212F9,解密后数据地址存放在miner_data_base)。解密后的数据解密后数据中存放在有矿工用户名、密码及矿池地址等数据。矿工信息用于矿工用户名和密码可以指定矿池发给任务,继续执行挖矿逻辑。指定矿池代码当检测到亚博集团平台当前计算机CPU个数小于2时,即不会打开挖矿逻辑。
