電信天翼客戶端攜帶病毒瘋狂“挖礦” 多款軟件攜帶同樣病毒代碼

日前，火絨安全實(shí)驗(yàn)室發(fā)出警報(bào)， 中國電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”，該病毒可隨時(shí)接收遠(yuǎn)程指令，利用被感染電腦刷廣告流量和 “挖礦”(生產(chǎn)“門羅幣”)，讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

“天翼校園客戶端”用戶群體龐大，所有在中國電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】下載過“天翼校園客戶端”的用戶都有可能被感染。"火絨安全軟件"最新版本可查殺該病毒。

通過“火絨威脅情報(bào)系統(tǒng)”追溯該病毒代碼可以發(fā)現(xiàn)，“網(wǎng)際快車”、“一字節(jié)恢復(fù)”，以及中國電信的一款農(nóng)歷日歷(Chinese Calendar)等軟件也都攜帶同樣的病毒代碼，該段病毒代碼的同源性代碼，也曾出現(xiàn)在火絨之前發(fā)布過的Kuzzle病毒報(bào)告中(火絨官方網(wǎng)站：《惡性病毒Kuzzle”攻破”安全廠商白名單》)。

據(jù)火絨安全團(tuán)隊(duì)分析，病毒感染電腦后會(huì)產(chǎn)生刷廣告流量和挖礦兩種危害。首先，病毒會(huì)創(chuàng)建一個(gè)隱藏的IE瀏覽器窗口，模擬用戶操作鼠標(biāo)、鍵盤點(diǎn)擊廣告，由于病毒屏蔽了廣告頁面的聲音，用戶難以發(fā)現(xiàn)自己已被挾持。其次，病毒會(huì)利用受害者電腦挖“門羅幣”，病毒挖礦時(shí)將大量占用CPU資源，電腦由此會(huì)變慢、發(fā)熱，用戶能聽到電腦風(fēng)扇高速運(yùn)行產(chǎn)生的噪音。

火絨安全團(tuán)隊(duì)表示，該病毒下載的廣告鏈接約400余個(gè)，由于廣告頁面被病毒隱藏，并沒有在用戶電腦端展示出來，廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。

而令人震驚的是，安全廠商們普遍認(rèn)為大型互聯(lián)網(wǎng)公司簽名的程序是安全的，病毒也借此通過安全軟件的“白名單”信任機(jī)制來躲避查殺。

火絨安全團(tuán)隊(duì)根據(jù)技術(shù)溯源后發(fā)現(xiàn)，雖然這些病毒代碼具有極高同源性，但卻屬于不同廠商，這些程序在外網(wǎng)已經(jīng)活躍很長時(shí)間，天翼客戶端在兩年前(2015年12月)就攜帶該后門代碼，網(wǎng)際快車的安裝包更是早在2014年就攜帶該后門代碼。

目前，"火絨安全軟件"最新版本已可查殺該病毒?；鸾q安全工程師建議電信校園用戶刪除“天翼校園客戶端”安裝目錄中的speedtest.dll文件，也呼吁上述攜帶該病毒的軟件提供商，迅速解決該問題，火絨安全團(tuán)隊(duì)可提供支持。