天翼，有毒？“校園客戶端掛馬事件”雷鋒網獨家解析

12月7日，江蘇某高校的大四學生小金（化名）正在準備期末論文，忽然電腦出現藍屏并自動重啟，起初他并沒有當一回事，然而一回頭卻發現舍友的電腦在十分鐘之內也重啟了三四次，這引起了他的注意。

【某受影響當事人電腦截圖】

小金想通過貼吧發帖來求助網友，卻驚奇地發現：貼吧一頁下來基本全是機器藍屏的帖子，并且周圍受影響的同學也越來越多，小金這才意識到：此事并不簡單！

近日，知乎網出現了一個名為「如何評價12月6日天翼校園客戶端自帶木馬病毒導致全國大面積win10藍屏的問題？」的討論，而以上內容便是宅客頻道（letshome）根據當事人描述來還原的場景。

電信寬帶客戶端帶木馬？客服否認

根據雷鋒網宅客頻道（公眾號：宅客頻道）調查，南京市是此次事件的“重災區”之一。從12月7日開始，南京郵電大學、南京工程學院、南京曉莊學院等高校就陸續有學生表示自己“中招”，受影響的學生們自發組建了“藍屏受害者聯聯誼會”之類的QQ群，開始向外界尋求幫助和解決方案。

他們發現，大部分藍屏的電腦都有一個共同特征：運行的都是 Windows10 系統， 并且都安裝了中國電信旗下一款叫做 “天翼校園客戶端”的軟件，于是紛紛猜測：問題會不會就出在Win10系統和天翼校園客戶端上？

根據當事人小金（化名）在12月7日的描述，起初修電腦的技術人員、中國電信的維修師傅都提出了各種各樣的解決方案，然而最后卻發現：只有卸載天翼校園客戶端，查殺木馬并且清理注冊表鍵值才能徹底解決問題。于是學生們開始撥打中國電信的官方客服電話尋求官方的回應，然而直至7日下午5點，所有電信客服均拒絕承認電腦藍屏是由于天翼校園客戶端導致，這立即引起了眾多學生的強烈不滿。

這個天翼校園客戶端到底是什么？如果該客戶端帶木馬病毒，又將產生什么樣的后果？雷鋒網宅客頻道（公眾號：宅客頻道）通過一位當事人小蔣了解到，在小蔣所在的高校，連接中國電信寬帶之前必須先在電腦上安裝一個天翼校園客戶端才能登錄上網。

小蔣說：

這似乎是中國電信為了限制“一人一號”的措施，因為這樣就沒辦法用路由了，WiFi 熱點共享的方法也變得不好用了，周圍高校的電信寬帶基本上都是通過這種方式登錄上網。

起初，宅客頻道對此感到疑惑：如果問題真的是由于天翼校園客戶端被掛木馬，那么應該全國其他地區的高校也應該會受到同樣影響，但目前反應該情況的學生主要集中在江蘇地區的高校。隨后，宅客頻道對更多回帖反饋問題的人進行了線上約談，發現事實上包括安徽、湖南、江蘇、武漢等多個地區高校也或多或少地受到影響。

來自安徽大學的學生小輝（化名）告訴宅客頻道：

據我所知，受影響的至少有安徽大學、安農大、安建大以及武漢的武漢理工大學，其中安農大和武漢理工大是重災區，可能是因為供學生可選的網絡運營商比較少。

而來自湖南大學的學生小龍（化名）則向宅客頻道透露：

我們學校只提供了中國電信的網絡供學生使用，而天翼校園客戶端自去年10月份之后就沒有更新過，目前我們也不確定是否該客戶端被掛木馬。但在今日，該客戶端的安裝文件被替換過一次。

至此，問題的原因似乎都指向了天翼校園客戶端，那么它是否真的是導致問題發生的原因？

相關部門如何回應

根據江蘇某高校的知乎網友提供的內容，在12月8日之前，所有中國電信客服都矢口否認問題原因是由于客戶端導致，然而在12月8日，天翼校園客戶端官網卻出現了一份關于“木馬病毒感染導致藍屏故障的處理方法”的公告。

【天翼校園客戶端官網公告】

同時，當天中國電信暫時放開了端口，免去天翼校園客戶端撥號認證，換成了網頁認證，學生們可以直接通過網頁的形式進行登錄上網，不需要借助天翼校園客戶端。然而，除了提供解決方案之外，中國電信并沒有就導致問題的原因做出任何的官方解釋。

12月9日，學生們發現該網頁認證已經失效，他們再次回到安裝天翼客戶端才能上網的情況。有學生猜測，在此期間中國電信對該客戶端進行了一次處理。

根據這位江蘇某高校知乎網友的描述，期間他曾嘗試撥打工信部電話進行投訴，卻被告知工信部只受理三大運營商的業務糾紛問題，此類問題不在他們的管轄范圍之內。隨后他接到了電信客服以及維修師傅的通知，告知電信方面已經解決了木馬造成的問題，天翼校園客戶端恢復正常使用。

然而就木馬的來源，電信客服始終閉口不談，而有負責維修的工作人員則表示：“這次問題是由于微軟在更新時夾帶木馬導致”，該網友表示對此答復非常無奈。

專家分析木馬可能來源

宅客頻道從一名當事人手中得到“問題客戶端”樣本后，請擁有多年惡意軟件查殺經驗的網絡專家，360反病毒小組負責人王亮進行了技術分析。

王亮表示：

根據初步分析我們發現，自11月26號開始，天翼校園客戶端通過升級通道向用戶計算機下發了一款名為“日歷時鐘”的軟件，文件名“abac101_abacab.exe”（程序判斷了文件名，使用其它文件名時行為不同），md5：27d68f74cf547ac31df68dc2faae93cc，帶有中國電信簽名，在用戶計算機中靜默安裝了這款軟件。安裝這款軟件之后不久，用戶計算機就出現“新黑狐”木馬。

根據分析數據，看只在11月26~11月28號存在這個問題，之后再沒出現。

對于用戶電腦中的木馬是否是由天翼校園客戶端將木馬帶入的，王亮回應：

根據當事人提供的樣本，目前只能確認天翼客戶端偷偷裝了這個“日歷時鐘”軟件，但還不能確認“新黑狐木馬”是否由這個“日歷時鐘”帶進來的，需要再花些時間細致分析一下它的云控代碼，以得到更多線索。

事件后續

至宅客頻道發文時，中國電信依然沒有對木馬的來源進行官方正式的聲明，而許多受影響的學生依然在尋求一個合理的解釋。一位江蘇地區高校“積極投訴咨詢”的知乎網友表示，電信方面已經針對其個人提出補償即2年每個月1G省內流量，但這只是針對其個人提出的補償方案，其他受害者均無法享受，他正在繼續向客服提出申訴，希望能給其他受害者爭取一下補償，哪怕大家不在乎這點微不足道的補償。

而另一名湖南地區某高校學生向宅客頻道表示，自己已向國際經濟貿易仲裁委員會申請了仲裁，要求電信賠償自己因電腦藍屏所導致的損失200元，周圍有朋友認為他過于小題大做，而他告訴宅客頻道：

“ 200元人民幣的賠償本身已經不重要，因為仲裁受理花費已遠遠高于這個數額。”

文/謝幺 （微信ID：dexter0 ，探索好奇，追求真相）

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。