黑雷模拟器助力黑雷活动:诱导用户下载挖矿程序
- A
日前,火绒安全工程师发现黑雷模拟器软件借其推出 “助力黑雷活动”,诱导用户安装挖矿程序后利用用户电脑挖矿。
据悉,用户在黑雷模拟器官网下载安装包后并,在软件安装完成后完成首次启动后会时,软件会执行自动升级程序。
此时,如果用户勾选【助力黑雷】选项,软件主程序会自动将一款挖矿程序下载到用户设备中,利用用户电脑挖矿。
挖矿程序启动时用户全程无感知,挖矿程序运行会长期高占用设备资源,导致电脑变卡、极端情况下甚至损坏硬件。
黑雷模拟器的主程序首先会拼接出一个用于下载挖矿程序的URL地址(至今有效),与此同时修改模拟器的配置文件。
配置文件中写入挖矿程序地址后开始调用Download_File函数,并挖矿程序下载URL和下载保存路径作为参数传入。
接下来便调用本地函数初始化网络请求,然后设置URL请求地址,调用curl_easy_perform函数将挖矿程序下载下来。
模拟器下载挖矿程序完成后会创建一个线程来启动挖矿程序,期间,主程序首先判断目标路径下是否存在挖矿程序。
若挖矿程序性存在则继续拼接命令行参数,包括拼接矿池账户字符串、挖矿程序路径和挖矿参数、CMD可执行命令。
接下来,主程序会调用CreateProcessW函数,以无窗口的模式打开CMD命令启动挖矿程序,挖矿程序至此被启动。
据悉,该挖矿程序添加了vmp壳进行保护,挖矿软件运行后,抓取内存dump通过IDA分析就可以找到其相关字符串。
火绒安全工程师查看黑雷模拟器官网发现,无论公告还是常见问题展示板块,其运维人员都要求用户关闭杀毒软件。
本着求证精神,笔者登录黑雷模拟器的官网并找到了相关公告并留证,公告确实未明确告知提供算力实为挖矿行为。
根据黑雷模拟器于2021年06月16日公告:助力黑雷活动的门槛条件为用户电脑显卡需达4G以上才会显示活动按钮。
且该活动为借用用户电脑CPU、显卡、内存、网络、电力等资源为黑雷提供算力,黑雷以账户积分的形式给予奖励。
用户获得的积分的数量与电脑的配置、助力时间等变量有关,而用户所获得的积分能够用于兑换黑雷VIP的会员时间。
到这里,其实相信大家也都明白了,黑雷模拟器下载的挖矿程序设置了一定的门槛:低配置电脑并不再其利用范围。
当然,话说回来,低配置的电脑随便运行市面上任何一个模拟器都会觉得卡顿,更别说是被用来挖矿了,哈哈哈哈。
笔者个人觉得,助力黑雷活动倒是类似于很多路由器,无非是利用用户资源为自己所有,然后返还相应的奖励罢了。
只不过这些路由器是利用闲置带宽等资源公开透明;而助力黑雷活动则是明目张胆的利用用户设备资源来提供算力。
看起来两者都是各取所需,但笔者建议黑雷在其公告或功能上注明,尊重用户选择,毕竟助力和挖矿不是同一概念。