什么是RC币？2020年投资RC币前景分析点评

什么是RC币？罗素币(RussellCoin,简称RC)是2017年11月21日创世，罗素币总量约2100万个，RC创新的采用了达世币的主节点计划，并改进了POW挖矿纳税给主节点机制，结合X11算法，双钥匙加密隐形，匿名更强，russiacoin是一种新的加密货币，适用于世界各地的人，尤其是俄罗斯的altcoin社区。russiacoin使用gdr算法，它与std类似。

RC币基本信息

币种名：RC,罗素币 RussellCoin

项目概念： 混合币

发行时间： 2018-01-21

众筹发行价格： —

历史最高价格： ¥3.4551

历史最低价格： ¥0.2393

总市值： ¥146.85万

总发行量： 21.000.000 RC

流通量： 21.000.000 RC

核心算法： X11

上架交易所： 4家

RC币推荐交易所及交易对

东方交易所交易所RC/USDT交易对、BiKi交易所RC/USDT交易对、Q网交易所RC/CNYT交易对、CoinMex交易所RC/USDT交易对。

比特币99度对RC币前景的点评

又是一个匿名人士复制了比特币代码与达世币的代码，然后组合的一个匿名币种，虽然说现在社群比较多，但是基本上没开发人员，找到了项目的GitHub代码库，发现几年没有更新，代码贡献者也就一个人，就是发明的时候初次提交了，后面就再也没更新了，估计发明的时候也就是故意到处抄了一些代码就开始炒了，毕竟2017年牛市，随便什么币都能上线炒，现在肯定是很多人牛市被套了，被迫拉人建立社区，整体来看项目的实际价值有限，给2分

joker对RC币前景的点评

RC罗素币白皮书介绍有丰富的场景应用，定位匿名支付，发行总量2100万，目前价格0.8左右，从交易所交易看韭菜被割了不少，发展到现在社区做的助一塌糊涂，成交量流通性极差，多名玩家丢币，不建议网友们入场这种垃圾币。

喵星人对RC币的点评

罗素币(简称RC)是2017年11月21日创世，罗素币总量约2100万个。

项目属于模仿性质：罗素币是矿币，模仿达世币的主节点计划，采用类似于PoW+PoS的混合挖矿方式，任何持币超过1000个即可建设主节点参与挖矿。POW挖矿奖励区块50%的币，主节点奖励区块50%的币。这种挖矿方式相比众筹还是具有一定优势，相对来说比较公平、透明。

团队人员有较强的专业性：罗素币创始人JD Russell，2005年于麻省理工学院信息工程系毕业。团队还有来自黑客在内的专业人士，有一定的技术实力。

公众社区建设不力：罗素币已建QQ推广群、微信群、火信群、电报群，但效果不大，知名度不高。

项目落地应用不多：虽然罗素币白皮书罗列了许多应用场景，但目前都没有实现。

代币表现一般：作为匿名币，虽然总量才2100万，但是价格低迷，长时间在0.5—1元间徘徊。而且罗素币上的都是一些不入流的小交易所，如香港97otc，本人就是从这个站点第一次接触罗素币的。

个人评分4分，发展低于逾期，面世一年多了，没有什么起色，但这个币风险相对较小。

小沈阳对RC币前景的点评

罗素币RC目前已被非小号，币今，牛眼行情收录。创世时间2017年11月21.和达世币一样的算法x11矿机挖矿和节点挖矿。不需要向主节点纳税，真正意义上的去中心化。就差一个好一点的交易所。目前价格1元左右，总量2100万。严重被低估，传送速度较快，费用及低。微信小程序八月商城支持罗素币支付网购，最后劝您投资有风险入坑需谨慎

Mr说币对RC币前景的点评

罗素币号称莱特币的分叉币!

1、发行量2100万，这个数量跟比特币一样，无非是想来蹭比特币的热度!

2、团队方面，技术应该还有待提高，内部管理混乱，挖矿的节点管理疏忽，出现会员挖矿丢币现象，应该是大忌!

3、市值管理太low，流通量400万，币价1块多，，出来几年就上了一个小小的交易所，不知道运营团队是做什么的，有没有在做事!

简要评价上面这些几点，个人看法不构成投资建议!

推荐指数:一星

如果大家希望更加深入的学习虚拟货币的相关知识，从一级市场到二级市场的更加全面系统的知识，那么可以联系我们的官方客服进行详细的咨询和沟通。我们有行业最大的虚拟货币投资学习社区，社群中不乏非常多的职业玩家以及行业大咖，可以对大家进行更加深入的指导和帮助。快联系我们的客服申请加入吧。

【PConline资讯】火绒安全团队截获一批蠕虫病毒。这些病毒通过U盘、移动硬盘等移动介质及网络驱动器传播，入侵电脑后，会远程下载各类病毒模块，以牟取利益。这些被下载的有盗号木马、挖矿病毒等，并且已经获得约645个门罗币（合60余万人民币）。

一、概述

该病毒早在2014年就已出现，并在国内外不断流窜，国外传播量远超于国内。据”火绒威胁情报系统”监测显示，从2018年开始，该病毒在国内呈现出迅速爆发的威胁态势，并且近期还在不断传播。

火绒工程师发现，该病毒通过可移动存储设备(U盘、移动硬盘等)和网络驱动器等方式进行传播。被该蠕虫病毒感染后，病毒会将移动设备、网络驱动器内的原有文件隐藏起来，并创建了一个与磁盘名称、图标完全相同的快捷方式，诱导用户点击。用户一旦点击，病毒会立即运行。

病毒运行后，首先会通过C&C远程服务器返回的控制命令，将其感染的电脑进行分组，再针对性的获取相应的病毒模块，执行盗号、挖矿等破坏行为。

病毒作者十分谨慎，将蠕虫病毒及其下载的全部病毒模块，都使用了混淆器，很难被安全软件查杀。同时，其下载的挖矿病毒只会在用户电脑空闲时进行挖矿，并且占用CPU资源很低，隐蔽性非常强。

不仅如此，该病毒还会删除被感染设备或网络驱动器根目录中的可疑文件，以保证只有自身会进入用户电脑。由此可见，该病毒以长期占据用户电脑来牟利为目的，日后不排除会远程派发其他恶性病毒（如勒索病毒）的可能。

“火绒安全软件”无需升级即可拦截并查杀该病毒。

二、样本分析

近期，火绒截获到一批蠕虫病毒样本，该病毒主要通过网络驱动器和可移动存储设备进行传播。该病毒在2014年前后首次出现，起初病毒在海外传播量较大，在国内的感染量十分有限，在进入2018年之后国内感染量迅速上升，逐渐呈现出迅速爆发的威胁态势。该病毒代码执行后，会根据远程C&C服务器返回的控制命令执行指定恶意逻辑，甚至可以直接派发其他病毒代码到本地计算机中进行执行。现阶段，我们发现的被派发的病毒程序包括：挖矿病毒、盗号木马等。病毒恶意代码运行与传播流程图，如下图所示：

病毒恶意代码运行与传播流程图

该病毒所使用的C&C服务器地址众多，且至今仍然在随着样本不断进行更新，我们仅以部分C&C服务器地址为例。如下图所示：

C&C服务器地址

该病毒会将自身拷贝到可移动存储设备和网络驱动器中，病毒程序及脚本分别名为DeviceConfigManager.exe和DeviceConfigManager.vbs。被该病毒感染后的目录，如下图所示：

被该病毒感染后的目录（上为可移动存储设备，下为网络驱动器）

火绒截获的蠕虫病毒样本既其下载的其他病毒程序全部均使用了相同的混淆器，此处对其所使用的混淆器进行统一分析，下文中不再赘述。其所使用的混淆器会使用大量无意义字符串或数据调用不同的系统函数，使用此方法达到其混淆目的。混淆器相关代码，如下图所示：

混淆代码

混淆器中使用了大量与上图中类似的垃圾代码，而用于还原加载原始PE镜像数据的关键逻辑代码也被穿插在这些垃圾代码中。还原加载原始PE数据的相关代码，如下图所示：

还原加载原始PE镜像数据的相关代码

上述代码运行完成后，会调用加载原始PE镜像数据的相关的代码逻辑。加载原始PE镜像数据的代码，首先会获取LoadLibrary、GetProcAddress函数地址及当前进程模块基址，之后借此获取其他关键函数地址。解密后的相关代码，如下图所示：

解密后的加载代码

原始PE镜像数据被使用LZO算法（Lempel-Ziv-Oberhumer）进行压缩，经过解压，再对原始PE镜像进行虚拟映射、修复导入表及重定位数据后，即会执行原始恶意代码逻辑。相关代码，如下图所示：

调用解压缩及虚拟映射相关代码

蠕虫病毒

该病毒整体逻辑分为两个部分，分别为传播和后门逻辑。该病毒的传播只针对可移动存储设备和网络驱动器，被感染后的可移动存储设备或网络驱动器根目录中会被释放一组病毒文件，并通过诱导用户点击或利用系统自动播放功能进行启动。蠕虫病毒通过遍历磁盘进行传播的相关逻辑代码，如下图所示：

遍历磁盘传播

被释放的病毒文件及文件描述，如下图所示：

被释放的病毒文件及文件描述

蠕虫病毒会通过在病毒vbs脚本中随机插入垃圾代码方式对抗安全软件查杀，被释放的vbs脚本首先会关闭当前资源管理器窗口，之后打开磁盘根目录下的”_”文件夹，最后执行病毒程序DeviceConfigManager.exe。释放病毒vbs脚本相关逻辑，如下图所示：

释放病毒vbs脚本相关逻辑

除了释放病毒文件外，病毒还会根据扩展名删除磁盘根目录中的可疑文件（删除时会将自身释放的病毒文件排除）。被删除的文件后缀名，如下图所示：

被删除的文件后缀名

病毒在释放文件的同时，还会将根目录下的所有文件全部移动至病毒创建的”_”目录中。除了病毒释放的快捷方式外，其他病毒文件属性均被设置为隐藏，在用户打开被感染的磁盘后，只能看到与磁盘名称、图标完全相同的快捷方式，从而诱骗用户点击。快捷方式指向的文件为DeviceConfigManager.vbs，vbs脚本功能如前文所述。通过这些手段可以使病毒代码执行的同时，尽可能不让用户有所察觉。

被释放的病毒文件列表

蠕虫病毒释放的快捷方式，如下图所示：

蠕虫病毒释放的快捷方式

该病毒的后门逻辑会通过与C&C服务器进行IRC通讯的方式进行，恶意代码会根据当前系统环境将当前受控终端加入到不同的分组中，再通过分组通讯对属于不同分组的终端分别进行控制。病毒用来进行分组的信息包括：语言区域信息、当前系统平台版本为x86或x64、当前用户权限等。后门代码中最主要的恶意功能为下载执行远程恶意代码，再借助病毒创建的自启动项，使该病毒可以常驻于用户计算机，且可以向受控终端推送的任意恶意代码进行执行。病毒首先会使用用户的语言区域信息和随机数生成用户ID，之后向C&C服务器发送NICK和USER通讯命令，随机的用户ID会被注册为NICK通讯命令中的名字，该操作用于受控终端上线。相关代码，如下图所示：

受控终端上线相关代码

通过上图我们可以看到，病毒所使用的C&C服务器列表中域名和IP地址众多，其中很大一部分都为无效域名和地址，主要用于迷惑安全研究人员。在受控端上线后，就会从C&C服务器获取控制指令进行执行。病毒可以根据不同的系统环境将当前受控终端进行分组，分组依据包括：语言区域信息、当前用户权限、系统平台版本信息（x86/x64）。除此之外，病毒还可以利用控制命令通过访问IP查询网站（http://api.wipmania.com）严格限制下发恶意代码的传播范围。主要控制命令及命令功能描述，如下图所示：

主要控制命令及命令功能描述

主要后门控制相关代码，如下图所示：

后门控制代码

病毒会将远程请求到的恶意代码释放至%temp%目录下进行执行，文件名随机。相关代码，如下图所示：

下载执行远程恶意代码

挖矿病毒

病毒下发的恶意代码众多，我们此次仅以挖矿病毒为例。本次火绒截获的挖矿病毒执行后，会在电脑运算资源闲置时挖取门罗币，对于普通用户来说其挖矿行为很难被察觉。在本次火绒所截获到的样本中，我们发现，病毒下发的所有恶意代码都使用了与蠕虫病毒相同的混淆器。以混淆器还原加载原始PE数据代码为例进行对比，如下图所示：

混淆器代码对比图（左为被下发到终端的挖矿病毒、右为蠕虫病毒）

挖矿病毒原始恶意代码运行后，会将病毒自身复制到C:Users用户名AppDataRoamingsvchostx64.exe位置，并创建计划任务每分钟执行一次。病毒会创建互斥量，通过检测互斥量，可以保证系统中的病毒进程实例唯一。之后，病毒会使用挖矿参数启动自身程序，再将挖矿程序（XMRig）PE镜像数据注入到新启动的进程中执行挖矿逻辑。在火绒行为沙盒中挖矿病毒行为，如下图所示：

挖矿病毒行为

如上图所示，挖矿参数中限制挖矿程序CPU占用率为3%，并且会通过检测系统闲置信息的方式不断检测CPU占用率是否过高，如果过高则会重新启动挖矿进程。通过遍历进程检测任务管理器进程（Taskmgr.exe）是否存在，如果存在则会停止挖矿，待任务管理进程退出后继续执行挖矿逻辑。病毒通过上述方法提高了病毒自身的隐蔽性，保证病毒可以尽可能的长时间驻留于被感染的计算机中。相关代码，如下图所示：

 1/5    1 2 3 4 5 下一页 尾页