您的位置: 旅游网 > 网红

天翼校园客户端中毒江苏广东湖南成重灾区

发布时间:2019-08-13 14:07:00
天翼校园客户端“中毒”,江苏、广东、湖南成重灾区 还记得刚进大学校园时向你热情推销卡的学姐学长们吗? “学妹,办卡吗?移动的,一次性充500话费送,还提供宽带呢。” “学弟,你看看这个套餐,包月58,3G流量随便刷,还有300分钟全国通话。” …… 为了拉拢新生用自家的卡,各大通讯公司打出种种优惠活动,其中就包括提供包年宽带服务。学生只要下载某个移动通讯客户端输入自己的号及密码就可以登陆上。 而最近,多个安全实验室监测发现,中国电信校园门户站【】提供下载的“天翼校园客户端”携带后门病毒“Backdoor/Modloader”,该病毒可随时接收远程指令,利用被感染电脑刷广告流量和 “挖矿”(生产“门罗币”),让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。 ▲带毒客户端的数字签名 电脑变慢竟是因为…… 据了解,“天翼校园客户端”安装包运行后,后门病毒即被植入电脑。该病毒会访问远程CC服务器存放的广告配置文件,然后构造隐藏IE浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。 ▲天翼校园客户端后门病毒的工作流程 天翼校园客户端安装后,安装目录中会释放l文件,l扮演病毒“母体”角色。执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。 ▲病毒母体文件“l”的功能 解密后的广告刷量模块被执行后,它会创建一个隐藏的IE窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。 而通过监测发现,该病毒下载的广告链接约400余个,由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行等等。 除了在各个广告主爸爸身上刷波广告流量,工程师们通过分析病毒的挖矿模块,发现天翼校园客户端挖的是“门罗币”。 门罗币,是一种模仿“比特币”出现的数字虚拟币,利用电脑硬件资源挖虚拟币一般被称为“挖矿”。目前,一枚比特币的价格已达4万元人民币,一枚门罗币的价格接近500元。 当病毒开始“挖矿”时,用户能观察到计算机CPU资源占用飙升,电脑性能变差,发热量上升。电脑风扇此时会高速运行,电脑噪音也会随之增加。 ▲病毒开始挖矿时,计算机CPU几乎满载 所以如果有童靴发现自己的电脑噪声增大,持续发热,频频卡顿,不一定是该换电脑了,还可能中了病毒。 而通过对病毒进行溯源分析,金山毒霸安全实验室还发现带有该后门病毒的安装包并不只有“天翼校园客户端”,“际快车”、“一字节恢复”,以及中国电信的一款农历日历(Chinese Calendar)等软件也都携带同样的病毒代码。 ▲日历程序的数字签名 关于病毒如何植入的诸多猜测 一个省的电信运营竟然与挖矿黑产挂上了,究竟病毒是如何被植入的? 猎豹移动安全专家对于江苏电信天翼校园被植入病毒的事件,有两种猜测: 第一是内部工作人员可能违规,私自参与病毒黑色产业; 第二是内部生产环境可能已遭黑客入侵,潜在的风险巨大。黑客可以控制一个省的电信用户去挖矿,黑客也可以控制如此巨大规模的终端用户电脑去实现其他目的,比如“发布违法信息内容”,或利用肉鸡电脑发起络攻击。 有微博友爆料,天翼校园客户端可能是外包管理不严,有被合作方坑的可能性。 虽然目前尚未查清中国电信江苏分公司的官方程序是如何被植入病毒的,但对于普遍认为大型互联公司签名程序是安全的安全厂商们,这波脸打的有点疼。 而据得到的最新消息,猎豹移动已在三省监测到天翼校园客户端沦陷,分别是江苏、广东、湖南。其他地方也有个例,但基本可以忽略。 而火绒安全团队也通过技术溯源发现,早在2015年12月,该病毒就已被病毒团伙植入到天翼客户端。通过排查发现,包括广东省肇庆市、中山市、珠海市、茂名市等21个市、208家高校均可能受到该病毒影响,下图为所有安装了该客户端的学校名单: 不过,不管是中招还是未中招的童靴,(公众号:)建议删除“天翼校园客户端”安装目录中的l文件,及时查杀病毒。还不放心的童靴,可以换个宽带来用了。 “挖矿”?最近太多了 实际上,最近“挖矿”的事儿有点多。 不久前百度址安全中心的同学监测发现一些站页面中被植入了恶意脚本,打开后会占用大量CPU资源。经过分析发现站中被植入的脚本是挖矿脚本冠心病做什么检查
小孩上火
营养不良宝宝怎么食补
如何预防脑中风的发生
猜你会喜欢的
猜你会喜欢的