還記得剛進大學校園時向你熱情推銷手機卡的學姐學長們嗎？

“學妹，辦卡嗎？移動的，一次性充500話費送手機，還提供寬帶呢?！?/p>

“學弟，你看看這個套餐，包月58，3G流量隨便刷，還有300分鐘全國通話?！?br/>

……

為了拉攏新生用自家的手機卡，各大通訊公司打出種種優(yōu)惠活動，其中就包括提供包年寬帶服務。學生只要下載某個移動通訊客戶端輸入自己的手機號及密碼就可以登陸上網(wǎng)。

而最近，多個安全實驗室監(jiān)測發(fā)現(xiàn)，中國電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”，該病毒可隨時接收遠程指令，利用被感染電腦刷廣告流量和 “挖礦”（生產(chǎn)“門羅幣”），讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

▲帶毒客戶端的數(shù)字簽名

電腦變慢竟是因為……

據(jù)雷鋒網(wǎng)了解，“天翼校園客戶端”安裝包運行后，后門病毒即被植入電腦。該病毒會訪問遠程C&C服務器存放的廣告配置文件，然后構造隱藏IE瀏覽器窗口執(zhí)行暗刷流量，同時也會釋放門羅幣挖礦者病毒進行挖礦。

▲天翼校園客戶端后門病毒的工作流程

天翼校園客戶端安裝后，安裝目錄中會釋放speedtest.dll文件，speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊，最終完成刷廣告流量和實現(xiàn)挖礦。

▲病毒母體文件“speedtest.dll”的功能

解密后的廣告刷量模塊被執(zhí)行后，它會創(chuàng)建一個隱藏的IE窗口，讀取云端指令，后臺模擬用戶操作鼠標、鍵盤點擊廣告，同時“屏蔽”聲卡播放廣告頁面中的聲音，防止刷廣告流量時用戶只聞其聲不見其形而感到奇怪。

而通過監(jiān)測發(fā)現(xiàn)，該病毒下載的廣告鏈接約400余個，由于廣告頁面被病毒隱藏，并沒有在用戶電腦端展示出來，廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網(wǎng)等等。

除了在各個廣告主爸爸身上刷波廣告流量，工程師們通過分析病毒的挖礦模塊，發(fā)現(xiàn)天翼校園客戶端挖的是“門羅幣”。

門羅幣，是一種模仿“比特幣”出現(xiàn)的數(shù)字虛擬幣，利用電腦硬件資源挖虛擬幣一般被稱為“挖礦”。目前，一枚比特幣的價格已達4萬元人民幣，一枚門羅幣的價格接近500元。

當病毒開始“挖礦”時，用戶能觀察到計算機CPU資源占用飆升，電腦性能變差，發(fā)熱量上升。電腦風扇此時會高速運行，電腦噪音也會隨之增加。

▲病毒開始挖礦時，計算機CPU幾乎滿載

所以如果有童靴發(fā)現(xiàn)自己的電腦噪聲增大，持續(xù)發(fā)熱，頻頻卡頓，不一定是該換電腦了，還可能中了病毒。

而通過對病毒進行溯源分析，金山毒霸安全實驗室還發(fā)現(xiàn)帶有該后門病毒的安裝包并不只有“天翼校園客戶端”，“網(wǎng)際快車”、“一字節(jié)恢復”，以及中國電信的一款農(nóng)歷日歷（Chinese Calendar）等軟件也都攜帶同樣的病毒代碼。

▲日歷程序的數(shù)字簽名

關于病毒如何植入的諸多猜測

一個省的電信運營竟然與挖礦黑產(chǎn)掛上了，究竟病毒是如何被植入的？

獵豹移動安全專家對于江蘇電信天翼校園被植入病毒的事件，有兩種猜測：

第一是內部工作人員可能違規(guī)，私自參與病毒黑色產(chǎn)業(yè)；

第二是內部生產(chǎn)環(huán)境可能已遭黑客入侵，潛在的風險巨大。黑客可以控制一個省的電信用戶去挖礦，黑客也可以控制如此巨大規(guī)模的終端用戶電腦去實現(xiàn)其他目的，比如“發(fā)布違法信息內容”，或利用肉雞電腦發(fā)起網(wǎng)絡攻擊。

有微博網(wǎng)友爆料，天翼校園客戶端可能是外包管理不嚴，有被合作方坑的可能性。

雖然目前尚未查清中國電信江蘇分公司的官方程序是如何被植入病毒的，但對于普遍認為大型互聯(lián)網(wǎng)公司簽名程序是安全的安全廠商們，這波臉打的有點疼。

而據(jù)雷鋒網(wǎng)得到的最新消息，獵豹移動已在三省監(jiān)測到天翼校園客戶端淪陷，分別是江蘇、廣東、湖南。其他地方也有個例，但基本可以忽略。

而火絨安全團隊也通過技術溯源發(fā)現(xiàn)，早在2015年12月，該病毒就已被病毒團伙植入到天翼客戶端。通過排查發(fā)現(xiàn)，包括廣東省肇慶市、中山市、珠海市、茂名市等21個市、208家高校均可能受到該病毒影響，下圖為所有安裝了該客戶端的學校名單：

不過，不管是中招還是未中招的童靴，雷鋒網(wǎng)編輯建議刪除“天翼校園客戶端”安裝目錄中的speedtest.dll文件，及時查殺病毒。還不放心的童靴，可以換個寬帶來用了。

“挖礦”？最近太多了

實際上，最近“挖礦”的事兒有點多。

不久前百度網(wǎng)址安全中心的同學監(jiān)測發(fā)現(xiàn)一些網(wǎng)站頁面中被植入了惡意腳本，打開后會占用大量CPU資源。經(jīng)過分析發(fā)現(xiàn)網(wǎng)站中被植入的腳本是在線挖礦腳本，通過瀏覽器訪問這些站點時挖礦腳本便會在后臺執(zhí)行占用大量CPU，電腦因此會變慢或卡頓。

植入到頁面中的挖礦腳本都是源自網(wǎng)站Coinhive（https://coinhive.com/），其提供了可植入到網(wǎng)站頁面中的門羅幣挖礦JavaScript API，只需植入到網(wǎng)站頁面中用戶訪問時便可實現(xiàn)門羅幣挖礦。

瀏覽器打開此頁面后電腦明顯變慢，查看電腦任務管理發(fā)現(xiàn)CPU使用率立即大幅上升，閑置不到36%。關閉頁面后CPU利用率立即下降，閑置超過97%，被占用的大量CPU正是被用來挖礦。

網(wǎng)站黑客入侵篡改是常見的安全問題，但現(xiàn)在入侵網(wǎng)站篡改的內容已經(jīng)擴散到挖礦惡意代碼。2017年10月以來檢出的挖礦站點數(shù)量呈現(xiàn)上漲趨勢，越來越多的站點被發(fā)現(xiàn)植入了挖礦腳本，因為被黑而被動參與挖礦的站點也在增多，國內網(wǎng)頁挖坑的市場規(guī)模十分龐大。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。