近期,火绒工程师发现,黑雷模拟器软件借助更新后的“助力黑雷活动”,诱导用户安装挖矿程序,并利用用户电脑进行挖矿。在挖矿程序启动时,用户将全程无感知;挖矿程序运行后,会导致系统资源长时间处于高占用的状态,致使用户电脑变卡,甚至在极端情况下会损坏硬件设备。目前,火绒已对该软件进行拦截查杀。
火绒查杀图
火绒工程师分析发现,通过黑雷模拟器官网下载安装包,在软件安装完成后首次启动会自动升级(升级内容如下图所示)。在用户升级成功打开软件时,若勾选“助力黑雷”选项后,该软件主程序会自动将一款挖矿程序下载至用户电脑中,从而利用用户电脑(显卡需为4G以上)挖矿,以此牟取利益。
模拟器自动升级
而查看黑雷模拟器官网可以发现,“助力黑雷活动”公告仅提及助力活动会借助用户电脑硬件和网络资源为其提供算力,而未明确告知用户所提供的算力是用于从事挖矿活动。公告内容,如下图所示:
公告内容
同时,我们可以发现,不管是在软件自动更新时、“助力黑雷活动”公告中,还是在软件官网常见问题展示区,该软件运维人员均以“影响使用效果”“影响运行速度”为由,要求用户“关闭杀毒软件”。
官网内容
火绒工程师提醒各位用户,尽量通过正规途径下载软件,安装软件前请使用杀毒软件进行查杀。同时请勿轻易相信,任何软件以任何借口要求关闭杀软的建议。
以下为挖矿程序的详细分析与样本hash:
一、详细分析模拟器主程序文件信息如下图所示:
模拟器主程序信息
模拟器下载的挖矿程序文件信息如下图所示:
挖矿程序信息
模拟器主程序添加了vmp壳进行保护,因此以下分析的是该主程序的内存dump文件
下载挖矿程序用户同意助力黑雷活动后,模拟器会创建一个线程执行下载挖矿程序。首先会拼接出下载挖矿程序所需的url,如下图所示:
拼接下载链接
具体链接信息如下图所示,目前仍可通过访问该url下载挖矿程序, 如下图所示:
挖矿程序下载链接
同时会更新模拟器的配置文件,在配置文件中写入挖矿程序的路径,如下图所示:
更新配置文件信息
配置文件更新后,调用Download_File函数,并将挖矿程序下载url和下载保存路径作为参数传入,代码如下图所示:
调用本地函数
初始化网络请求并设置url请求链接,代码如下图所示:
初始化url请求相关配置
调用curl_easy_perform函数进行挖矿程序下载,代码如下图所示:
请求下载挖矿程序
启动挖矿程序在模拟器下载挖矿程序完成后,会创建一个线程用于启动挖矿程序。首先会判断目标路径下是否已下载挖矿程序,如下图所示:
判断挖矿程序是否存在
如果挖矿程序存在,则继续拼接命令行参数,一共进行了三次拼接,如下图所示:
拼接矿池账户字符串
拼接挖矿程序路径和挖矿参数
拼接cmd可执行命令
然后调用CreateProcessW函数,以无窗口的模式打开Cmd命令启动挖矿程序,如下图所示
以cmd启动挖矿程序
拼接得到的字符串如下:
挖矿程序启动命令
矿工相关数据,如下图所示:
矿工信息
挖矿程序运行后的效果图如下:
挖矿程序运行界面
挖矿程序添加了vmp壳进行保护,因此将挖矿程序运行后抓取了内存dump通过IDA分析,可以找到挖矿程序界面显示相关字符串,如下图所示
挖矿程序运行界面字符串
二、附录
样本hash:
| 
收藏