天翼校園客戶端“中毒”，江蘇、廣東、湖南成重災區

還記得剛進大學校園時向你熱情推銷手機卡的學姐學長們嗎？

“學妹，辦卡嗎？移動的，一次性充500話費送手機，還提供寬帶呢。”

“學弟，你看看這個套餐，包月58，3G流量隨便刷，還有300分鐘全國通話。”

……

為了拉攏新生用自家的手機卡，各大通訊公司打出種種優惠活動，其中就包括提供包年寬帶服務。學生只要下載某個移動通訊客戶端輸入自己的手機號及密碼就可以登陸上網。

而最近，多個安全實驗室監測發現，中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”，該病毒可隨時接收遠程指令，利用被感染電腦刷廣告流量和 “挖礦”（生產“門羅幣”），讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

▲帶毒客戶端的數字簽名

電腦變慢竟是因為……

據雷鋒網了解，“天翼校園客戶端”安裝包運行后，后門病毒即被植入電腦。該病毒會訪問遠程C&C服務器存放的廣告配置文件，然后構造隱藏IE瀏覽器窗口執行暗刷流量，同時也會釋放門羅幣挖礦者病毒進行挖礦。

▲天翼校園客戶端后門病毒的工作流程

天翼校園客戶端安裝后，安裝目錄中會釋放speedtest.dll文件，speedtest.dll扮演病毒“母體”角色。執行下載、釋放其他病毒模塊，最終完成刷廣告流量和實現挖礦。

▲病毒母體文件“speedtest.dll”的功能

解密后的廣告刷量模塊被執行后，它會創建一個隱藏的IE窗口，讀取云端指令，后臺模擬用戶操作鼠標、鍵盤點擊廣告，同時“屏蔽”聲卡播放廣告頁面中的聲音，防止刷廣告流量時用戶只聞其聲不見其形而感到奇怪。

而通過監測發現，該病毒下載的廣告鏈接約400余個，由于廣告頁面被病毒隱藏，并沒有在用戶電腦端展示出來，廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。

除了在各個廣告主爸爸身上刷波廣告流量，工程師們通過分析病毒的挖礦模塊，發現天翼校園客戶端挖的是“門羅幣”。

門羅幣，是一種模仿“比特幣”出現的數字虛擬幣，利用電腦硬件資源挖虛擬幣一般被稱為“挖礦”。目前，一枚比特幣的價格已達4萬元人民幣，一枚門羅幣的價格接近500元。

當病毒開始“挖礦”時，用戶能觀察到計算機CPU資源占用飆升，電腦性能變差，發熱量上升。電腦風扇此時會高速運行，電腦噪音也會隨之增加。

▲病毒開始挖礦時，計算機CPU幾乎滿載

所以如果有童靴發現自己的電腦噪聲增大，持續發熱，頻頻卡頓，不一定是該換電腦了，還可能中了病毒。

而通過對病毒進行溯源分析，金山毒霸安全實驗室還發現帶有該后門病毒的安裝包并不只有“天翼校園客戶端”，“網際快車”、“一字節恢復”，以及中國電信的一款農歷日歷（Chinese Calendar）等軟件也都攜帶同樣的病毒代碼。

▲日歷程序的數字簽名

關于病毒如何植入的諸多猜測

一個省的電信運營竟然與挖礦黑產掛上了，究竟病毒是如何被植入的？

獵豹移動安全專家對于江蘇電信天翼校園被植入病毒的事件，有兩種猜測：

第一是內部工作人員可能違規，私自參與病毒黑色產業；

第二是內部生產環境可能已遭黑客入侵，潛在的風險巨大。黑客可以控制一個省的電信用戶去挖礦，黑客也可以控制如此巨大規模的終端用戶電腦去實現其他目的，比如“發布違法信息內容”，或利用肉雞電腦發起網絡攻擊。

有微博網友爆料，天翼校園客戶端可能是外包管理不嚴，有被合作方坑的可能性。

雖然目前尚未查清中國電信江蘇分公司的官方程序是如何被植入病毒的，但對于普遍認為大型互聯網公司簽名程序是安全的安全廠商們，這波臉打的有點疼。

而據雷鋒網得到的最新消息，獵豹移動已在三省監測到天翼校園客戶端淪陷，分別是江蘇、廣東、湖南。其他地方也有個例，但基本可以忽略。

而火絨安全團隊也通過技術溯源發現，早在2015年12月，該病毒就已被病毒團伙植入到天翼客戶端。通過排查發現，包括廣東省肇慶市、中山市、珠海市、茂名市等21個市、208家高校均可能受到該病毒影響，下圖為所有安裝了該客戶端的學校名單：

不過，不管是中招還是未中招的童靴，雷鋒網編輯建議刪除“天翼校園客戶端”安裝目錄中的speedtest.dll文件，及時查殺病毒。還不放心的童靴，可以換個寬帶來用了。

“挖礦”？最近太多了

實際上，最近“挖礦”的事兒有點多。

不久前百度網址安全中心的同學監測發現一些網站頁面中被植入了惡意腳本，打開后會占用大量CPU資源。經過分析發現網站中被植入的腳本是在線挖礦腳本，通過瀏覽器訪問這些站點時挖礦腳本便會在后臺執行占用大量CPU，電腦因此會變慢或卡頓。

植入到頁面中的挖礦腳本都是源自網站Coinhive（https://coinhive.com/），其提供了可植入到網站頁面中的門羅幣挖礦JavaScript API，只需植入到網站頁面中用戶訪問時便可實現門羅幣挖礦。

瀏覽器打開此頁面后電腦明顯變慢，查看電腦任務管理發現CPU使用率立即大幅上升，閑置不到36%。關閉頁面后CPU利用率立即下降，閑置超過97%，被占用的大量CPU正是被用來挖礦。

網站黑客入侵篡改是常見的安全問題，但現在入侵網站篡改的內容已經擴散到挖礦惡意代碼。2017年10月以來檢出的挖礦站點數量呈現上漲趨勢，越來越多的站點被發現植入了挖礦腳本，因為被黑而被動參與挖礦的站點也在增多，國內網頁挖坑的市場規模十分龐大。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。