(转)2345流氓软件把用户电脑变为挖矿肉鸡
转自殁漂遥http://www.shaoit.com/20171201.html
一、概述
12月1日,”火绒安全实验室”发出警报,一款名为”云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当”肉鸡”进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产”零币”)。而被植入”云计算”软件的电脑,则沦为挖矿的”肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。
“云计算”软件由2345公司旗下的”2345王牌技术员联盟“进行推广,众多流氓软件通过该”联盟”领取推广任务,利用各种手段在用户电脑上偷偷安装该软件,然后根据安装量领取相应的报酬。
根据”火绒威胁情报系统”的监控,参与推广”云计算”挖矿工具的流氓软件有:”云爱PE工具箱”、”凌哥绝地求生助手V1.1.0″、”美捷便签”、”swf播放精灵”、”美捷闹钟”等。这是一种常见的联盟式流氓推广渠道–任何流氓软件都可以参与进来,最终按照安装量从”联盟”领取报酬。
“云计算”挖矿工具使用了一些病毒团伙常用的开源恶意代码,被”火绒安全软件”直接拦截、查杀。这些恶意代码很早就被火绒团队截获、处理过,所有利用这些恶意代码的病毒和流氓软件,都会被火绒产品自动截杀。
请广大火绒用户放心,”火绒安全软件”无需升级,即可查杀”云计算”挖矿工具。非火绒用户,请立刻通过火绒官网下载产品,清除上述流氓软件和挖矿工具。
二、样本分析
近期,火绒发现一些流氓软件会静默推广”挖矿”程序挖取零币(ZCoin),该程序安装包来自2345官网(jifen.2345.com)下载的”云计算”安装包,且安装包带有2345官方签名。安装包文件信息,如下图所示:
解密后数据中,存放有矿工用户名、密码及矿池地址等数据。矿工相关数据,
使用矿工用户名和密码可以登录矿池领取任务,执行挖矿逻辑。如下图所示:
用户安装2345流氓软件后电脑成为挖矿肉鸡
当检测到当前计算机CPU个数大于2时,即会开启挖矿逻辑。
老殁吐槽
2345的软件,老殁基本不会使用,其中的看图王也只能使用修改后的版版本。
当年上海瑞创的多特软件站就有涉足黑产作恶,好压一开始也是非常优秀的压缩软件,后来慢慢变质,2011年上海瑞创还因为侵权赔偿了微软3600万,后来2345通过网址导航和装机联盟推广,越做越大,现在的2345全家桶已经超越了当年的奇虎360,稳居国内流氓软件宝座。
后来一直想居上的百度全家桶因为公司名声太大还会有点收敛,2345靠着众多的电脑维修店铺、电脑城装机人员,把2345网址导航和2345全家桶软件装到了用户电脑上,并且公司都弄上市了。
上市后的2345,生怕别人不知道自己是上市了,导出都是上市广告。
殁漂遥shaoit.com殁漂遥shaoit.com
软件也改名成为各种王,还顺带推出了浏览器、输入法和安全软件。
我觉得吧,大家心里应该都有数,我就不多言表了。
国内的软件,真没几个良心的,因为良心的都基本无法生存,真要反思下我们的土壤的,很难正常做人。 草2345!!!老子不小心被害过,就算花一下午,我也要把它搞掉。看到别人网页被劫持,我也不能忍!!! 本帖最后由 谁啊 于 2017-12-3 08:58 编辑
直接在网关把2345干掉。
支付宝,QQ神马的都装在虚拟机中,用时才打开。
看到支持国产,民族就好笑。 一直用WinRAR的路过 从没使用过2345 2345劫持了CHROME之后各种删除之后重装CHROME都搞不定.他大爷的纯流氓软件. 对2345从来没有好感 见到九删 chensi007 发表于 2017-12-3 09:05
2345劫持了CHROME之后各种删除之后重装CHROME都搞不定.他大爷的纯流氓软件.
用强力杀毒软件可以搞定,2345改了好几个DLL文件,所以删不掉。 从来不用2345 坑啊,居然电脑上360大流氓的浏览器的主页也被2345修改了。。。 2345流氓看到就烦。 安装2345卫士的电脑会阻止其他杀毒软件安装。 cocalli 发表于 2017-12-4 19:16
一看名字就不是什么好鸟,好压也是一个尿性的,其实7z也是一个尿性,所以宁愿用rar最老的版本,也不用他们 ...
親,7z是開源軟件,原版網站都被牆了,你下的是不是百毒加料版啊? 对带数字的网站&软件都没好感 yijingxiaoyou 发表于 2017-12-8 11:21
对带数字的网站&软件都没好感
1024呢 cocalli 发表于 2017-12-4 19:16
一看名字就不是什么好鸟,好压也是一个尿性的,其实7z也是一个尿性,所以宁愿用rar最老的版本,也不用他们 ...
7z什么尿性?一直官网下载7z啊。
页:
[1]