中國(guó)電信官方客戶端居然被植入病毒 用來暗中挖礦

由于現(xiàn)在各式虛擬貨幣實(shí)在太火，現(xiàn)在不少軟件和app都被植入病毒，利用用戶的電腦背地里幫助黑客進(jìn)行挖礦操作。

近日，中國(guó)電信江蘇分公司校園門戶網(wǎng)站(pre.f-young.cn)提供下載的“天翼校園客戶端”也被植入后門病毒，可接受黑客遠(yuǎn)程指令，利用中毒電腦刷廣告流量，挖礦生產(chǎn)“門羅幣”。

安裝包運(yùn)行后，后門病毒即被植入電腦，隨即訪問遠(yuǎn)程C&C存放的廣告配置文件，然后構(gòu)造隱藏IE瀏覽器窗口執(zhí)行暗刷流量，同時(shí)也會(huì)釋放門羅幣挖礦者病毒進(jìn)行挖礦。

安裝包整體邏輯如下圖所示：

客戶端安裝后，安裝目錄中會(huì)釋放speedtest.dll文件，扮演病毒“母體”角色，執(zhí)行下載、釋放其他病毒模塊，最終完成刷廣告流量和實(shí)現(xiàn)挖礦。

解密后的廣告刷量模塊被執(zhí)行后，它會(huì)創(chuàng)建一個(gè)隱藏的IE窗口，讀取云端指令，后臺(tái)模擬用戶操作鼠標(biāo)、鍵盤點(diǎn)擊廣告，同時(shí)“屏蔽”聲卡播放廣告頁面中的聲音，防止刷廣告流量時(shí)用戶只聞其聲不見其形而感到奇怪。

該病毒下載的廣告鏈接有400多個(gè)。由于廣告頁面被病毒隱藏，并沒有在用戶電腦端展示出來，廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。

通過分析病毒的挖礦模塊發(fā)現(xiàn)，天翼校園客戶端挖的是“門羅幣”。這是一種模仿“比特幣”出現(xiàn)的數(shù)字虛擬幣，一枚價(jià)格接近500元。

當(dāng)病毒開始“挖礦”時(shí)，用戶能觀察到計(jì)算機(jī)CPU資源占用飆升，電腦性能變差，發(fā)熱量上升，電腦風(fēng)扇此時(shí)會(huì)高速運(yùn)行，電腦噪音也會(huì)隨之增加。

排查之后發(fā)現(xiàn)，簽名為“中國(guó)電信股份有限公司”的一款農(nóng)歷日歷(Chinese Calendar)同樣存在該后門病毒。

分析結(jié)果令人震驚，安全廠商們普遍認(rèn)為大型互聯(lián)網(wǎng)公司簽名的程序是安全的，但中國(guó)電信江蘇分公司的官方程序是如何被植入病毒，目前尚不得而知。