還記得剛進(jìn)大學(xué)校園時(shí)向你熱情推銷手機(jī)卡的學(xué)姐學(xué)長(zhǎng)們嗎？

“學(xué)妹，辦卡嗎？移動(dòng)的，一次性充500話費(fèi)送手機(jī)，還提供寬帶呢?！?/p>

“學(xué)弟，你看看這個(gè)套餐，包月58，3G流量隨便刷，還有300分鐘全國(guó)通話?！?br/>

……

為了拉攏新生用自家的手機(jī)卡，各大通訊公司打出種種優(yōu)惠活動(dòng)，其中就包括提供包年寬帶服務(wù)。學(xué)生只要下載某個(gè)移動(dòng)通訊客戶端輸入自己的手機(jī)號(hào)及密碼就可以登陸上網(wǎng)。

而最近，多個(gè)安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，中國(guó)電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”，該病毒可隨時(shí)接收遠(yuǎn)程指令，利用被感染電腦刷廣告流量和 “挖礦”（生產(chǎn)“門羅幣”），讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

▲帶毒客戶端的數(shù)字簽名

電腦變慢竟是因?yàn)椤?/strong>

據(jù)雷鋒網(wǎng)了解，“天翼校園客戶端”安裝包運(yùn)行后，后門病毒即被植入電腦。該病毒會(huì)訪問(wèn)遠(yuǎn)程C&C服務(wù)器存放的廣告配置文件，然后構(gòu)造隱藏IE瀏覽器窗口執(zhí)行暗刷流量，同時(shí)也會(huì)釋放門羅幣挖礦者病毒進(jìn)行挖礦。

▲天翼校園客戶端后門病毒的工作流程

天翼校園客戶端安裝后，安裝目錄中會(huì)釋放speedtest.dll文件，speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊，最終完成刷廣告流量和實(shí)現(xiàn)挖礦。

▲病毒母體文件“speedtest.dll”的功能

解密后的廣告刷量模塊被執(zhí)行后，它會(huì)創(chuàng)建一個(gè)隱藏的IE窗口，讀取云端指令，后臺(tái)模擬用戶操作鼠標(biāo)、鍵盤點(diǎn)擊廣告，同時(shí)“屏蔽”聲卡播放廣告頁(yè)面中的聲音，防止刷廣告流量時(shí)用戶只聞其聲不見(jiàn)其形而感到奇怪。

而通過(guò)監(jiān)測(cè)發(fā)現(xiàn)，該病毒下載的廣告鏈接約400余個(gè)，由于廣告頁(yè)面被病毒隱藏，并沒(méi)有在用戶電腦端展示出來(lái)，廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。

除了在各個(gè)廣告主爸爸身上刷波廣告流量，工程師們通過(guò)分析病毒的挖礦模塊，發(fā)現(xiàn)天翼校園客戶端挖的是“門羅幣”。

門羅幣，是一種模仿“比特幣”出現(xiàn)的數(shù)字虛擬幣，利用電腦硬件資源挖虛擬幣一般被稱為“挖礦”。目前，一枚比特幣的價(jià)格已達(dá)4萬(wàn)元人民幣，一枚門羅幣的價(jià)格接近500元。

當(dāng)病毒開(kāi)始“挖礦”時(shí)，用戶能觀察到計(jì)算機(jī)CPU資源占用飆升，電腦性能變差，發(fā)熱量上升。電腦風(fēng)扇此時(shí)會(huì)高速運(yùn)行，電腦噪音也會(huì)隨之增加。

▲病毒開(kāi)始挖礦時(shí)，計(jì)算機(jī)CPU幾乎滿載

所以如果有童靴發(fā)現(xiàn)自己的電腦噪聲增大，持續(xù)發(fā)熱，頻頻卡頓，不一定是該換電腦了，還可能中了病毒。

而通過(guò)對(duì)病毒進(jìn)行溯源分析，金山毒霸安全實(shí)驗(yàn)室還發(fā)現(xiàn)帶有該后門病毒的安裝包并不只有“天翼校園客戶端”，“網(wǎng)際快車”、“一字節(jié)恢復(fù)”，以及中國(guó)電信的一款農(nóng)歷日歷（Chinese Calendar）等軟件也都攜帶同樣的病毒代碼。

▲日歷程序的數(shù)字簽名

關(guān)于病毒如何植入的諸多猜測(cè)

一個(gè)省的電信運(yùn)營(yíng)竟然與挖礦黑產(chǎn)掛上了，究竟病毒是如何被植入的？

獵豹移動(dòng)安全專家對(duì)于江蘇電信天翼校園被植入病毒的事件，有兩種猜測(cè)：

第一是內(nèi)部工作人員可能違規(guī)，私自參與病毒黑色產(chǎn)業(yè)；

第二是內(nèi)部生產(chǎn)環(huán)境可能已遭黑客入侵，潛在的風(fēng)險(xiǎn)巨大。黑客可以控制一個(gè)省的電信用戶去挖礦，黑客也可以控制如此巨大規(guī)模的終端用戶電腦去實(shí)現(xiàn)其他目的，比如“發(fā)布違法信息內(nèi)容”，或利用肉雞電腦發(fā)起網(wǎng)絡(luò)攻擊。

有微博網(wǎng)友爆料，天翼校園客戶端可能是外包管理不嚴(yán)，有被合作方坑的可能性。

雖然目前尚未查清中國(guó)電信江蘇分公司的官方程序是如何被植入病毒的，但對(duì)于普遍認(rèn)為大型互聯(lián)網(wǎng)公司簽名程序是安全的安全廠商們，這波臉打的有點(diǎn)疼。

而據(jù)雷鋒網(wǎng)得到的最新消息，獵豹移動(dòng)已在三省監(jiān)測(cè)到天翼校園客戶端淪陷，分別是江蘇、廣東、湖南。其他地方也有個(gè)例，但基本可以忽略。

而火絨安全團(tuán)隊(duì)也通過(guò)技術(shù)溯源發(fā)現(xiàn)，早在2015年12月，該病毒就已被病毒團(tuán)伙植入到天翼客戶端。通過(guò)排查發(fā)現(xiàn)，包括廣東省肇慶市、中山市、珠海市、茂名市等21個(gè)市、208家高校均可能受到該病毒影響，下圖為所有安裝了該客戶端的學(xué)校名單：

不過(guò)，不管是中招還是未中招的童靴，雷鋒網(wǎng)編輯建議刪除“天翼校園客戶端”安裝目錄中的speedtest.dll文件，及時(shí)查殺病毒。還不放心的童靴，可以換個(gè)寬帶來(lái)用了。

“挖礦”？最近太多了

實(shí)際上，最近“挖礦”的事兒有點(diǎn)多。

不久前百度網(wǎng)址安全中心的同學(xué)監(jiān)測(cè)發(fā)現(xiàn)一些網(wǎng)站頁(yè)面中被植入了惡意腳本，打開(kāi)后會(huì)占用大量CPU資源。經(jīng)過(guò)分析發(fā)現(xiàn)網(wǎng)站中被植入的腳本是在線挖礦腳本，通過(guò)瀏覽器訪問(wèn)這些站點(diǎn)時(shí)挖礦腳本便會(huì)在后臺(tái)執(zhí)行占用大量CPU，電腦因此會(huì)變慢或卡頓。

植入到頁(yè)面中的挖礦腳本都是源自網(wǎng)站Coinhive（https://coinhive.com/），其提供了可植入到網(wǎng)站頁(yè)面中的門羅幣挖礦JavaScript API，只需植入到網(wǎng)站頁(yè)面中用戶訪問(wèn)時(shí)便可實(shí)現(xiàn)門羅幣挖礦。

瀏覽器打開(kāi)此頁(yè)面后電腦明顯變慢，查看電腦任務(wù)管理發(fā)現(xiàn)CPU使用率立即大幅上升，閑置不到36%。關(guān)閉頁(yè)面后CPU利用率立即下降，閑置超過(guò)97%，被占用的大量CPU正是被用來(lái)挖礦。

網(wǎng)站黑客入侵篡改是常見(jiàn)的安全問(wèn)題，但現(xiàn)在入侵網(wǎng)站篡改的內(nèi)容已經(jīng)擴(kuò)散到挖礦惡意代碼。2017年10月以來(lái)檢出的挖礦站點(diǎn)數(shù)量呈現(xiàn)上漲趨勢(shì)，越來(lái)越多的站點(diǎn)被發(fā)現(xiàn)植入了挖礦腳本，因?yàn)楸缓诙粍?dòng)參與挖礦的站點(diǎn)也在增多，國(guó)內(nèi)網(wǎng)頁(yè)挖坑的市場(chǎng)規(guī)模十分龐大。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。