火绒安全软件

标题: 黑雷模拟器诱导用户下载挖矿程序 火绒提醒谨慎使用 [打印本页]
作者: huoronganquan    时间: 2021-8-31 18:29
标题: 黑雷模拟器诱导用户下载挖矿程序 火绒提醒谨慎使用

近期,火绒工程师发现,黑雷模拟器软件借助更新后的“助力黑雷活动”,诱导用户安装挖矿程序,并利用用户电脑进行挖矿。在挖矿程序启动时,用户将全程无感知;挖矿程序运行后,会导致系统资源长时间处于高占用的状态,致使用户电脑变卡,甚至在极端情况下会损坏硬件设备。目前,火绒已对该软件进行拦截查杀。

Image-0.png

火绒查杀图


火绒工程师分析发现,通过黑雷模拟器官网下载安装包,在软件安装完成后首次启动会自动升级(升级内容如下图所示)。在用户升级成功打开软件时,若勾选“助力黑雷”选项后,该软件主程序会自动将一款挖矿程序下载至用户电脑中,从而利用用户电脑(显卡需为4G以上)挖矿,以此牟取利益。

Image-1.png

模拟器自动升级   

而查看黑雷模拟器官网可以发现,“助力黑雷活动”公告仅提及助力活动会借助用户电脑硬件和网络资源为其提供算力,而未明确告知用户所提供的算力是用于从事挖矿活动。公告内容,如下图所示:

Image-2.png

公告内容

同时,我们可以发现,不管是在软件自动更新时、“助力黑雷活动”公告中,还是在软件官网常见问题展示区,该软件运维人员均以“影响使用效果”“影响运行速度”为由,要求用户“关闭杀毒软件”。

Image-3.png

官网内容


火绒工程师提醒各位用户,尽量通过正规途径下载软件,安装软件前请使用杀毒软件进行查杀。同时请勿轻易相信,任何软件以任何借口要求关闭杀软的建议。


以下为挖矿程序的详细分析与样本hash:

一、详细分析
模拟器主程序文件信息如下图所示:

Image-4.png

模拟器主程序信息

模拟器下载的挖矿程序文件信息如下图所示:

Image-5.png
挖矿程序信息


模拟器主程序添加了vmp壳进行保护,因此以下分析的是该主程序的内存dump文件

下载挖矿程序
用户同意助力黑雷活动后,模拟器会创建一个线程执行下载挖矿程序。首先会拼接出下载挖矿程序所需的url,如下图所示:

Image-6.png

拼接下载链接


具体链接信息如下图所示,目前仍可通过访问该url下载挖矿程序, 如下图所示:

Image-7.png

挖矿程序下载链接

同时会更新模拟器的配置文件,在配置文件中写入挖矿程序的路径,如下图所示:

Image-8.png

更新配置文件信息


配置文件更新后,调用Download_File函数,并将挖矿程序下载url和下载保存路径作为参数传入,代码如下图所示:

Image-9.png

调用本地函数

初始化网络请求并设置url请求链接,代码如下图所示:

Image-10.png

初始化url请求相关配置


调用curl_easy_perform函数进行挖矿程序下载,代码如下图所示:

Image-11.png

请求下载挖矿程序


启动挖矿程序
在模拟器下载挖矿程序完成后,会创建一个线程用于启动挖矿程序。首先会判断目标路径下是否已下载挖矿程序,如下图所示:

Image-12.png
判断挖矿程序是否存在


如果挖矿程序存在,则继续拼接命令行参数,一共进行了三次拼接,如下图所示:

Image-13.png

拼接矿池账户字符串


Image-14.png

拼接挖矿程序路径和挖矿参数


Image-15.png

拼接cmd可执行命令


然后调用CreateProcessW函数,以无窗口的模式打开Cmd命令启动挖矿程序,如下图所示

Image-16.png

以cmd启动挖矿程序


拼接得到的字符串如下:

   Image-17.png
挖矿程序启动命令


矿工相关数据,如下图所示:

Image-18.png

矿工信息



挖矿程序运行后的效果图如下:

Image-19.png

挖矿程序运行界面


挖矿程序添加了vmp壳进行保护,因此将挖矿程序运行后抓取了内存dump通过IDA分析,可以找到挖矿程序界面显示相关字符串,如下图所示

Image-20.png

挖矿程序运行界面字符串


二、附录
样本hash:
Image-21.png


作者: 你来打我呀    时间: 2021-8-31 19:02
沙发,是不是忘了置顶呀
作者: 化悲痛为力量    时间: 2021-8-31 23:02
提示: 作者被禁止或删除 内容自动屏蔽



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4