中新网11月2日电金山毒霸安全实验室监测发现,从中国电信(pre.f-young.cn)江苏分公司校园门户下载的“天翼校园客户端”被植入后门病毒,该病毒接受黑客远程指令,利用中毒电脑刷广告流量、挖矿生产“门罗币”。
“天翼校园客户端”安装包运行后,后门病毒被植入电脑。该病毒会访问远程CC服务器存储的广告配置文件,然后构造隐藏的IE浏览器窗口进行暗刷流量,同时会释放门罗币矿工病毒进行挖矿。安装包的整体逻辑如下图所示:
天翼校园客户端后门病毒工作流程
天翼校园客户端安装后,安装目录中会释放speedtest.dll文件,speedtest.dll将扮演病毒“家长”的角色。下载释放其他病毒模块,最终完成广告流量和挖掘。
病毒父文件“speedtest.dll”的功能
解密后的广告刷量模块执行后,会创建一个隐藏的IE窗口,在云端读取指令,在后台模拟用户操作鼠标键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止用户在刷广告流量时出现意外。
金山毒霸安全实验室监测发现,该病毒下载的广告链接约有400个。因为广告页面被病毒隐藏,没有显示在用户电脑上,广告主白白增加了流量成本。受此病毒点击欺诈影响的广告主包括腾讯、百度、Fengxing.com、搜狗、淘宝、IT168等。
工程师通过分析病毒的挖矿模块,发现天翼校园客户端在挖“门罗币”。门罗币是一种模仿比特币的数字虚拟货币。利用计算机硬件资源挖掘虚拟币,一般称为“挖矿”。目前一枚比特币的价格已经达到4万元,一枚门罗币的价格接近500元。在利益的驱动下,很多病毒黑产者生产的挖矿病毒广泛传播,使得很多受害者的电脑成为不法分子的“矿工”。
当病毒开始“挖矿”时,用户可以观察到电脑的CPU资源占用猛增,电脑性能变差,发热量上升。此时电脑风扇会高速运转,电脑噪音也会增大。
金山毒霸查杀天翼校园客户端内置的挖矿病毒。
金山毒霸安全实验室对该病毒进行了追踪,发现带有后门病毒的安装包并非只有“天翼校园客户端”。经调查,还发现一款署名为“中国电信股份有限公司”的中国日历也存在后门病毒。
分析结果令人震惊,安全厂商普遍认为大型互联网公司签署的程序是安全的。中国电信江苏分公司的官方程序是如何被植入病毒的,目前还不得而知。
金山毒霸已升级检测和查杀病毒。建议江苏电信校园内的客户删除“天翼校园客户端”安装目录中的speedtest.dll文件,也呼吁中国电信江苏分公司尽快排查涉案软件,更换网上的感染版本。同时建议检查内网安全,排除黑客入侵或其他嫌疑。如果被黑客或者有不良目的的人利用,随时可能造成大范围的悲惨后果。
