近期，火绒工程师发现，黑雷模拟器软件借助更新后的 “助力黑雷活动”，诱导用户安装挖矿程序，并利用用户电脑进行挖矿。在挖矿程序启动时，用户将全程无感知；挖矿程序运行后，会导致系统资源长时间处于高占用的状态，致使用户电脑变卡，甚至在极端情况下会损坏硬件设备。目前，火绒已对该软件进行拦截查杀。

  

火绒查杀图

 

火绒工程师分析发现，通过黑雷模拟器官网下载安装包，在软件安装完成后首次启动会自动升级（升级内容如下图所示）。在用户升级成功打开软件时，若勾选“助力黑雷”选项后，该软件主程序会自动将一款挖矿程序下载至用户电脑中，从而利用用户电脑（显卡需为4G以上）挖矿，以此牟取利益。

 

模拟器自动升级   

 

而查看黑雷模拟器官网可以发现，“助力黑雷活动”公告仅提及助力活动会借助用户电脑硬件和网络资源为其提供算力，而未明确告知用户所提供的算力是用于从事挖矿活动。公告内容，如下图所示：

 

 

公告内容

 

同时，我们可以发现，不管是在软件自动更新时、“助力黑雷活动”公告中，还是在软件官网常见问题展示区，该软件运维人员均以“影响使用效果”“影响运行速度”为由，要求用户“关闭杀毒软件”。

 

 

官网内容

 

火绒工程师提醒各位用户，尽量通过正规途径下载软件，安装软件前请使用杀毒软件进行查杀。同时请勿轻易相信，任何软件以任何借口要求关闭杀软的建议。

 

以下为挖矿程序的详细分析与样本hash：

 

一、详细分析

模拟器主程序文件信息如下图所示：

 

 

模拟器主程序信息

 

模拟器下载的挖矿程序文件信息如下图所示：

 

挖矿程序信息

 

模拟器主程序添加了vmp壳进行保护，因此以下分析的是该主程序的内存dump文件

 

下载挖矿程序

用户同意助力黑雷活动后，模拟器会创建一个线程执行下载挖矿程序。首先会拼接出下载挖矿程序所需的url，如下图所示：

 

 

拼接下载链接

 

具体链接信息如下图所示，目前仍可通过访问该url下载挖矿程序， 如下图所示：

 

挖矿程序下载链接

 

同时会更新模拟器的配置文件，在配置文件中写入挖矿程序的路径，如下图所示：

 

更新配置文件信息

 

配置文件更新后，调用Download_File函数，并将挖矿程序下载url和下载保存路径作为参数传入，代码如下图所示：

 

调用本地函数

 

初始化网络请求并设置url请求链接，代码如下图所示：

 

初始化url请求相关配置

 

调用curl_easy_perform函数进行挖矿程序下载，代码如下图所示：

 

请求下载挖矿程序

 

启动挖矿程序

在模拟器下载挖矿程序完成后，会创建一个线程用于启动挖矿程序。首先会判断目标路径下是否已下载挖矿程序，如下图所示：

 

判断挖矿程序是否存在

 

如果挖矿程序存在，则继续拼接命令行参数，一共进行了三次拼接，如下图所示：

 

拼接矿池账户字符串

 

 

拼接挖矿程序路径和挖矿参数

 

 

拼接cmd可执行命令

 

然后调用CreateProcessW函数，以无窗口的模式打开Cmd命令启动挖矿程序，如下图所示

 

以cmd启动挖矿程序

 

拼接得到的字符串如下：

 

挖矿程序启动命令

 

矿工相关数据，如下图所示：

 

矿工信息

 

 

挖矿程序运行后的效果图如下：

 

挖矿程序运行界面

 

挖矿程序添加了vmp壳进行保护，因此将挖矿程序运行后抓取了内存dump通过IDA分析，可以找到挖矿程序界面显示相关字符串，如下图所示

  

 挖矿程序运行界面字符串

 

二、附录

样本hash：