正文内容 评论(0

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
2017-11-02 19:08:33  作者:Kew 编辑:Kew     评论(0)点击可以复制本篇文章的标题和链接

金山毒霸安全实验室监测发现,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”被植入后门病毒,该后门病毒接受黑客远程指令,利用中毒电脑刷广告流量和挖矿生产“门罗币”。

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
图1 带毒客户端的数字签名

“天翼校园客户端”安装包运行后,后门病毒即被植入电脑。该病毒会访问远程C&C服务器存放的广告配置文件,然后构造隐藏IE浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。安装包整体逻辑如下图所示:

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
图2 天翼校园客户端后门病毒的工作流程

天翼校园客户端安装后,安装目录中会释放speedtest.dll文件,speedtest.dll扮演病毒“母体”角色。执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
图3 病毒母体文件“speedtest.dll”的功能

解密后的广告刷量模块被执行后,它会创建一个隐藏的IE窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。

金山毒霸安全实验室监测发现该病毒下载的广告链接约400余个,由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

通过分析病毒的挖矿模块,工程师们发现天翼校园客户端挖的是“门罗币”。门罗币,是一种模仿“比特币”出现的数字虚拟币,利用电脑硬件资源挖虚拟币一般被称为“挖矿”。目前,一枚比特币的价格已达4万元人民币,一枚门罗币的价格接近500元。受利益驱动,众多病毒黑产从业人员制作挖矿病毒广泛传播,让众多受害者电脑沦为不法分子的“矿工”。

当病毒开始“挖矿”时,用户能观察到计算机CPU资源占用飙升,电脑性能变差,发热量上升。电脑风扇此时会高速运行,电脑噪音也会随之增加。

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
图4 病毒开始挖矿时,计算机CPU几乎满载

金山毒霸安全实验室对病毒进行溯源分析,发现带有该后门病毒的安装包并不只有“天翼校园客户端”,排查之后,还发现签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar),同样存在该后门病毒。

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
图5 日历程序的数字签名

分析结果令人震惊,安全厂商们普遍认为大型互联网公司签名的程序是安全的。中国电信江苏分公司的官方程序是如何被植入病毒,目前尚不得而知。

金山毒霸已升级查杀该病毒,建议江苏省电信校园客户删除“天翼校园客户端”安装目录中的speedtest.dll文件,也呼吁中国电信江苏省分公司尽快检查所涉软件,替换网上存在的带毒版本。同时,建议检查内网安全,以排除黑客入侵或其他嫌疑,如果被黑客或不良目的人士利用,随时可能制造大范围的悲剧性后果。

金山毒霸预警:天翼校园客户端被植入病毒 中毒电脑被用来“挖矿”
图6 金山毒霸查杀天翼校园客户端中内置的挖矿病毒

【本文结束】如需转载请务必注明出处:快科技

责任编辑:文章纠错

  • 支持打赏
  • 支持0

  • 反对

  • 打赏

文章价值打分

当前文章打分0 分,共有0人打分
  • 分享好友:
  • |
本文收录在
#快讯

  • 热门文章
  • 换一波

  • 好物推荐
  • 换一波

  • 关注我们

  • 微博

    微博:快科技官方

    快科技官方微博
  • 今日头条

    今日头条:快科技

    带来硬件软件、手机数码最快资讯!
  • 抖音

    抖音:kkjcn

    科技快讯、手机开箱、产品体验、应用推荐...