丁香五月天婷婷久久婷婷色综合91|国产传媒自偷自拍|久久影院亚洲精品|国产欧美VA天堂国产美女自慰视屏|免费黄色av网站|婷婷丁香五月激情四射|日韩AV一区二区中文字幕在线观看|亚洲欧美日本性爱|日日噜噜噜夜夜噜噜噜|中文Av日韩一区二区

您正在使用IE低版瀏覽器,為了您的雷峰網(wǎng)賬號(hào)安全和更好的產(chǎn)品體驗(yàn),強(qiáng)烈建議使用更快更安全的瀏覽器
此為臨時(shí)鏈接,僅用于文章預(yù)覽,將在時(shí)失效
政企安全 正文
發(fā)私信給又田
發(fā)送

1

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

本文作者: 又田 2017-11-03 16:46
導(dǎo)語(yǔ):還記得剛進(jìn)大學(xué)校園金山毒霸安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn),中國(guó)電信江蘇分公司校園門戶網(wǎng)站(pre.f-young.cn)提供下載的“天翼校園客戶端”被植入后門病毒,該后門病

還記得剛進(jìn)大學(xué)校園時(shí)向你熱情推銷手機(jī)卡的學(xué)姐學(xué)長(zhǎng)們嗎?

“學(xué)妹,辦卡嗎?移動(dòng)的,一次性充500話費(fèi)送手機(jī),還提供寬帶呢?!?/p>

“學(xué)弟,你看看這個(gè)套餐,包月58,3G流量隨便刷,還有300分鐘全國(guó)通話?!?br/>

……

為了拉攏新生用自家的手機(jī)卡,各大通訊公司打出種種優(yōu)惠活動(dòng),其中就包括提供包年寬帶服務(wù)。學(xué)生只要下載某個(gè)移動(dòng)通訊客戶端輸入自己的手機(jī)號(hào)及密碼就可以登陸上網(wǎng)。

而最近,多個(gè)安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn),中國(guó)電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”,該病毒可隨時(shí)接收遠(yuǎn)程指令,利用被感染電腦刷廣告流量和 “挖礦”(生產(chǎn)“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

▲帶毒客戶端的數(shù)字簽名

電腦變慢竟是因?yàn)椤?/strong>

據(jù)雷鋒網(wǎng)了解,“天翼校園客戶端”安裝包運(yùn)行后,后門病毒即被植入電腦。該病毒會(huì)訪問(wèn)遠(yuǎn)程C&C服務(wù)器存放的廣告配置文件,然后構(gòu)造隱藏IE瀏覽器窗口執(zhí)行暗刷流量,同時(shí)也會(huì)釋放門羅幣挖礦者病毒進(jìn)行挖礦。

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

▲天翼校園客戶端后門病毒的工作流程

天翼校園客戶端安裝后,安裝目錄中會(huì)釋放speedtest.dll文件,speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊,最終完成刷廣告流量和實(shí)現(xiàn)挖礦。

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

▲病毒母體文件“speedtest.dll”的功能

解密后的廣告刷量模塊被執(zhí)行后,它會(huì)創(chuàng)建一個(gè)隱藏的IE窗口,讀取云端指令,后臺(tái)模擬用戶操作鼠標(biāo)、鍵盤點(diǎn)擊廣告,同時(shí)“屏蔽”聲卡播放廣告頁(yè)面中的聲音,防止刷廣告流量時(shí)用戶只聞其聲不見(jiàn)其形而感到奇怪。

而通過(guò)監(jiān)測(cè)發(fā)現(xiàn),該病毒下載的廣告鏈接約400余個(gè),由于廣告頁(yè)面被病毒隱藏,并沒(méi)有在用戶電腦端展示出來(lái),廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。

除了在各個(gè)廣告主爸爸身上刷波廣告流量,工程師們通過(guò)分析病毒的挖礦模塊,發(fā)現(xiàn)天翼校園客戶端挖的是“門羅幣”。

門羅幣,是一種模仿“比特幣”出現(xiàn)的數(shù)字虛擬幣,利用電腦硬件資源挖虛擬幣一般被稱為“挖礦”。目前,一枚比特幣的價(jià)格已達(dá)4萬(wàn)元人民幣,一枚門羅幣的價(jià)格接近500元。

當(dāng)病毒開(kāi)始“挖礦”時(shí),用戶能觀察到計(jì)算機(jī)CPU資源占用飆升,電腦性能變差,發(fā)熱量上升。電腦風(fēng)扇此時(shí)會(huì)高速運(yùn)行,電腦噪音也會(huì)隨之增加。

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

▲病毒開(kāi)始挖礦時(shí),計(jì)算機(jī)CPU幾乎滿載

所以如果有童靴發(fā)現(xiàn)自己的電腦噪聲增大,持續(xù)發(fā)熱,頻頻卡頓,不一定是該換電腦了,還可能中了病毒。

而通過(guò)對(duì)病毒進(jìn)行溯源分析,金山毒霸安全實(shí)驗(yàn)室還發(fā)現(xiàn)帶有該后門病毒的安裝包并不只有“天翼校園客戶端”,“網(wǎng)際快車”、“一字節(jié)恢復(fù)”,以及中國(guó)電信的一款農(nóng)歷日歷(Chinese Calendar)等軟件也都攜帶同樣的病毒代碼。

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

▲日歷程序的數(shù)字簽名

關(guān)于病毒如何植入的諸多猜測(cè)

一個(gè)省的電信運(yùn)營(yíng)竟然與挖礦黑產(chǎn)掛上了,究竟病毒是如何被植入的?

獵豹移動(dòng)安全專家對(duì)于江蘇電信天翼校園被植入病毒的事件,有兩種猜測(cè):

第一是內(nèi)部工作人員可能違規(guī),私自參與病毒黑色產(chǎn)業(yè);

第二是內(nèi)部生產(chǎn)環(huán)境可能已遭黑客入侵,潛在的風(fēng)險(xiǎn)巨大。黑客可以控制一個(gè)省的電信用戶去挖礦,黑客也可以控制如此巨大規(guī)模的終端用戶電腦去實(shí)現(xiàn)其他目的,比如“發(fā)布違法信息內(nèi)容”,或利用肉雞電腦發(fā)起網(wǎng)絡(luò)攻擊。

有微博網(wǎng)友爆料,天翼校園客戶端可能是外包管理不嚴(yán),有被合作方坑的可能性。

雖然目前尚未查清中國(guó)電信江蘇分公司的官方程序是如何被植入病毒的,但對(duì)于普遍認(rèn)為大型互聯(lián)網(wǎng)公司簽名程序是安全的安全廠商們,這波臉打的有點(diǎn)疼。

而據(jù)雷鋒網(wǎng)得到的最新消息,獵豹移動(dòng)已在三省監(jiān)測(cè)到天翼校園客戶端淪陷,分別是江蘇、廣東、湖南。其他地方也有個(gè)例,但基本可以忽略。

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

而火絨安全團(tuán)隊(duì)也通過(guò)技術(shù)溯源發(fā)現(xiàn),早在2015年12月,該病毒就已被病毒團(tuán)伙植入到天翼客戶端。通過(guò)排查發(fā)現(xiàn),包括廣東省肇慶市、中山市、珠海市、茂名市等21個(gè)市、208家高校均可能受到該病毒影響,下圖為所有安裝了該客戶端的學(xué)校名單:

天翼校園客戶端“中毒”,江蘇、廣東、湖南成重災(zāi)區(qū)

不過(guò),不管是中招還是未中招的童靴,雷鋒網(wǎng)編輯建議刪除“天翼校園客戶端”安裝目錄中的speedtest.dll文件,及時(shí)查殺病毒。還不放心的童靴,可以換個(gè)寬帶來(lái)用了。

“挖礦”?最近太多了

實(shí)際上,最近“挖礦”的事兒有點(diǎn)多。

不久前百度網(wǎng)址安全中心的同學(xué)監(jiān)測(cè)發(fā)現(xiàn)一些網(wǎng)站頁(yè)面中被植入了惡意腳本,打開(kāi)后會(huì)占用大量CPU資源。經(jīng)過(guò)分析發(fā)現(xiàn)網(wǎng)站中被植入的腳本是在線挖礦腳本,通過(guò)瀏覽器訪問(wèn)這些站點(diǎn)時(shí)挖礦腳本便會(huì)在后臺(tái)執(zhí)行占用大量CPU,電腦因此會(huì)變慢或卡頓。

植入到頁(yè)面中的挖礦腳本都是源自網(wǎng)站Coinhive(https://coinhive.com/),其提供了可植入到網(wǎng)站頁(yè)面中的門羅幣挖礦JavaScript API,只需植入到網(wǎng)站頁(yè)面中用戶訪問(wèn)時(shí)便可實(shí)現(xiàn)門羅幣挖礦。

瀏覽器打開(kāi)此頁(yè)面后電腦明顯變慢,查看電腦任務(wù)管理發(fā)現(xiàn)CPU使用率立即大幅上升,閑置不到36%。關(guān)閉頁(yè)面后CPU利用率立即下降,閑置超過(guò)97%,被占用的大量CPU正是被用來(lái)挖礦。

網(wǎng)站黑客入侵篡改是常見(jiàn)的安全問(wèn)題,但現(xiàn)在入侵網(wǎng)站篡改的內(nèi)容已經(jīng)擴(kuò)散到挖礦惡意代碼。2017年10月以來(lái)檢出的挖礦站點(diǎn)數(shù)量呈現(xiàn)上漲趨勢(shì),越來(lái)越多的站點(diǎn)被發(fā)現(xiàn)植入了挖礦腳本,因?yàn)楸缓诙粍?dòng)參與挖礦的站點(diǎn)也在增多,國(guó)內(nèi)網(wǎng)頁(yè)挖坑的市場(chǎng)規(guī)模十分龐大。

雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。

分享:
相關(guān)文章
當(dāng)月熱門文章
最新文章
請(qǐng)?zhí)顚?xiě)申請(qǐng)人資料
姓名
電話
郵箱
微信號(hào)
作品鏈接
個(gè)人簡(jiǎn)介
為了您的賬戶安全,請(qǐng)驗(yàn)證郵箱
您的郵箱還未驗(yàn)證,完成可獲20積分喲!
請(qǐng)驗(yàn)證您的郵箱
完善賬號(hào)信息
您的賬號(hào)已經(jīng)綁定,現(xiàn)在您可以設(shè)置密碼以方便用郵箱登錄