天翼校园客户端“中毒”,江苏、广东、湖南成重灾区

学号:16020120050

姓名:吴言凡

转自:https://www.leiphone.com/news/201711/ueSFqwY9KWNGa0st.html

【嵌牛导读】:金山毒霸安全实验室监测发现,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”被植入后门病毒

【嵌牛鼻子】:校园网络,客户端病毒

【嵌牛提问】:一个省的电信运营竟然与挖矿黑产挂上了,究竟病毒是如何被植入的?

【嵌牛正文】:还记得刚进大学校园时向你热情推销手机卡的学姐学长们吗?

“学妹,办卡吗?移动的,一次性充500话费送手机,还提供宽带呢。”

“学弟,你看看这个套餐,包月58,3G流量随便刷,还有300分钟全国通话。”

……

为了拉拢新生用自家的手机卡,各大通讯公司打出种种优惠活动,其中就包括提供包年宽带服务。学生只要下载某个移动通讯客户端输入自己的手机号及密码就可以登陆上网。

而最近,多个安全实验室监测发现,中国电信校园门户网站【zsteduapp.10000.gd.cn】提供下载的“天翼校园客户端”携带后门病毒“Backdoor/Modloader”,该病毒可随时接收远程指令,利用被感染电脑刷广告流量和 “挖矿”(生产“门罗币”),让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。

▲带毒客户端的数字签名

电脑变慢竟是因为……

据了解,“天翼校园客户端”安装包运行后,后门病毒即被植入电脑。该病毒会访问远程C&C服务器存放的广告配置文件,然后构造隐藏IE浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。

▲天翼校园客户端后门病毒的工作流程

天翼校园客户端安装后,安装目录中会释放speedtest.dll文件,speedtest.dll扮演病毒“母体”角色。执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。

▲病毒母体文件“speedtest.dll”的功能

解密后的广告刷量模块被执行后,它会创建一个隐藏的IE窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。

而通过监测发现,该病毒下载的广告链接约400余个,由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

除了在各个广告主爸爸身上刷波广告流量,工程师们通过分析病毒的挖矿模块,发现天翼校园客户端挖的是“门罗币”。

门罗币,是一种模仿“比特币”出现的数字虚拟币,利用电脑硬件资源挖虚拟币一般被称为“挖矿”。目前,一枚比特币的价格已达4万元人民币,一枚门罗币的价格接近500元。

当病毒开始“挖矿”时,用户能观察到计算机CPU资源占用飙升,电脑性能变差,发热量上升。电脑风扇此时会高速运行,电脑噪音也会随之增加。

▲病毒开始挖矿时,计算机CPU几乎满载

所以如果有童靴发现自己的电脑噪声增大,持续发热,频频卡顿,不一定是该换电脑了,还可能中了病毒。

而通过对病毒进行溯源分析,金山毒霸安全实验室还发现带有该后门病毒的安装包并不只有“天翼校园客户端”,“网际快车”、“一字节恢复”,以及中国电信的一款农历日历(Chinese Calendar)等软件也都携带同样的病毒代码。

▲日历程序的数字签名

关于病毒如何植入的诸多猜测

一个省的电信运营竟然与挖矿黑产挂上了,究竟病毒是如何被植入的?

猎豹移动安全专家对于江苏电信天翼校园被植入病毒的事件,有两种猜测:

第一是内部工作人员可能违规,私自参与病毒黑色产业;

第二是内部生产环境可能已遭黑客入侵,潜在的风险巨大。黑客可以控制一个省的电信用户去挖矿,黑客也可以控制如此巨大规模的终端用户电脑去实现其他目的,比如“发布违法信息内容”,或利用肉鸡电脑发起网络攻击。

有微博网友爆料,天翼校园客户端可能是外包管理不严,有被合作方坑的可能性。

虽然目前尚未查清中国电信江苏分公司的官方程序是如何被植入病毒的,但对于普遍认为大型互联网公司签名程序是安全的安全厂商们,这波脸打的有点疼。

而据最新消息,猎豹移动已在三省监测到天翼校园客户端沦陷,分别是江苏、广东、湖南。其他地方也有个例,但基本可以忽略。

而火绒安全团队也通过技术溯源发现,早在2015年12月,该病毒就已被病毒团伙植入到天翼客户端。通过排查发现,包括广东省肇庆市、中山市、珠海市、茂名市等21个市、208家高校均可能受到该病毒影响,下图为所有安装了该客户端的学校名单:

不过,不管是中招还是未中招的童靴,建议删除“天翼校园客户端”安装目录中的speedtest.dll文件,及时查杀病毒。还不放心的童靴,可以换个宽带来用了。

“挖矿”?最近太多了

实际上,最近“挖矿”的事儿有点多。

不久前百度网址安全中心的同学监测发现一些网站页面中被植入了恶意脚本,打开后会占用大量CPU资源。经过分析发现网站中被植入的脚本是在线挖矿脚本,通过浏览器访问这些站点时挖矿脚本便会在后台执行占用大量CPU,电脑因此会变慢或卡顿。

植入到页面中的挖矿脚本都是源自网站Coinhive(https://coinhive.com/),其提供了可植入到网站页面中的门罗币挖矿JavaScript API,只需植入到网站页面中用户访问时便可实现门罗币挖矿。

浏览器打开此页面后电脑明显变慢,查看电脑任务管理发现CPU使用率立即大幅上升,闲置不到36%。关闭页面后CPU利用率立即下降,闲置超过97%,被占用的大量CPU正是被用来挖矿。

网站黑客入侵篡改是常见的安全问题,但现在入侵网站篡改的内容已经扩散到挖矿恶意代码。2017年10月以来检出的挖矿站点数量呈现上涨趋势,越来越多的站点被发现植入了挖矿脚本,因为被黑而被动参与挖矿的站点也在增多,国内网页挖坑的市场规模十分庞大。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,684评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,143评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,214评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,788评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,796评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,665评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,027评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,679评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,346评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,664评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,766评论 1 331
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,412评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,015评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,974评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,203评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,073评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,501评论 2 343

推荐阅读更多精彩内容