黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用

图片[1] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

近期,火绒工程师发现,黑雷模拟器软件借助更新后的 “助力黑雷活动”,诱导用户安装挖矿程序,并利用用户电脑进行挖矿。在挖矿程序启动时,用户将全程无感知;挖矿程序运行后,会导致系统资源长时间处于高占用的状态,致使用户电脑变卡,甚至在极端情况下会损坏硬件设备。目前,火绒已对该软件进行拦截查杀。

图片[2] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

火绒查杀图

火绒工程师分析发现,通过黑雷模拟器官网下载安装包,在软件安装完成后首次启动会自动升级(升级内容如下图所示)。在用户升级成功打开软件时,若勾选“助力黑雷”选项后,该软件主程序会自动将一款挖矿程序下载至用户电脑中,从而利用用户电脑(显卡需为4G以上)挖矿,以此牟取利益。

图片[3] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

模拟器自动升级

而查看黑雷模拟器官网可以发现,“助力黑雷活动”公告仅提及助力活动会借助用户电脑硬件和网络资源为其提供算力,而未明确告知用户所提供的算力是用于从事挖矿活动。公告内容,如下图所示:

图片[4] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

同时,我们可以发现,不管是在软件自动更新时、“助力黑雷活动”公告中,还是在软件官网常见问题展示区,该软件运维人员均以“影响使用效果”“影响运行速度”为由,要求用户“关闭杀毒软件”。

图片[5] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

同时,我们可以发现,不管是在软件自动更新时、“助力黑雷活动”公告中,还是在软件官网常见问题展示区,该软件运维人员均以“影响使用效果”“影响运行速度”为由,要求用户“关闭杀毒软件”。

图片[5] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

火绒工程师提醒各位用户,尽量通过正规途径下载软件,安装软件前请使用杀毒软件进行查杀。同时请勿轻易相信,任何软件以任何借口要求关闭杀软的建议。

以下为挖矿程序的详细分析与样本hash:

一、详细分析

模拟器主程序文件信息如下图所示:

图片[7] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

模拟器下载的挖矿程序文件信息如下图所示:

图片[8] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

模拟器主程序添加了vmp壳进行保护,因此以下分析的是该主程序的内存dump文件

下载挖矿程序

用户同意助力黑雷活动后,模拟器会创建一个线程执行下载挖矿程序。首先会拼接出下载挖矿程序所需的url,如下图所示:

图片[9] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
拼接下载链接

具体链接信息如下图所示,目前仍可通过访问该url下载挖矿程序, 如下图所示:

图片[10] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
挖矿程序下载链接

同时会更新模拟器的配置文件,在配置文件中写入挖矿程序的路径,如下图所示:

图片[11] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
更新配置文件信息

配置文件更新后,调用Download_File函数,并将挖矿程序下载url和下载保存路径作为参数传入,代码如下图所示:

图片[12] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
调用本地函数

初始化网络请求并设置url请求链接,代码如下图所示:

图片[13] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
初始化url请求相关配置

调用curl_easy_perform函数进行挖矿程序下载,代码如下图所示:

图片[14] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
请求下载挖矿程序

启动挖矿程序

在模拟器下载挖矿程序完成后,会创建一个线程用于启动挖矿程序。首先会判断目标路径下是否已下载挖矿程序,如下图所示:

图片[15] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
判断挖矿程序是否存在

如果挖矿程序存在,则继续拼接命令行参数,一共进行了三次拼接,如下图所示:

图片[16] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
拼接cmd可执行命令

然后调用CreateProcessW函数,以无窗口的模式打开Cmd命令启动挖矿程序,如下图所示

图片[17] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
以cmd启动挖矿程序

拼接得到的字符串如下:

图片[18] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
挖矿程序启动命令

矿工相关数据,如下图所示:

图片[19] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院
矿工信息

挖矿程序运行后的效果图如下:

图片[20] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

挖矿程序运行界面

挖矿程序添加了vmp壳进行保护,因此将挖矿程序运行后抓取了内存dump通过IDA分析,可以找到挖矿程序界面显示相关字符串,如下图所示

图片[21] - 黑雷模拟器诱导用户下载挖矿程序 请用户谨慎使用 - 某研究院

 挖矿程序运行界面字符串

二、附录

样本hash: 

Image-21.png

© 版权声明
THE END
喜欢就支持一下吧
点赞67
分享
评论 抢沙发

请登录后发表评论