電信天翼客戶端攜帶病毒瘋狂「挖礦「多款軟體攜帶同樣病毒代碼

日前，火絨安全實驗室發出警報， 中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的「天翼校園客戶端」被植入後門病毒「Backdoor/Modloader」，該病毒可隨時接收遠程指令，利用被感染電腦刷廣告流量和 「挖礦」（生產「門羅幣」），讓這些校園用戶的電腦淪為他們牟取利益的「肉雞」。

「天翼校園客戶端」用戶群體龐大，所有在中國電信校園門戶網站【zsteduapp.10000.gd.cn】下載過「天翼校園客戶端」的用戶都有可能被感染。"火絨安全軟體"最新版本可查殺該病毒。

通過「火絨威脅情報系統」追溯該病毒代碼可以發現，「網際快車」、「一位元組恢復」，以及中國電信的一款農曆日曆（Chinese Calendar）等軟體也都攜帶同樣的病毒代碼，該段病毒代碼的同源性代碼，也曾出現在火絨之前發布過的Kuzzle病毒報告中（火絨官方網站：《惡性病毒Kuzzle」攻破」安全廠商白名單》）。

據火絨安全團隊分析，病毒感染電腦後會產生刷廣告流量和挖礦兩種危害。首先，病毒會創建一個隱藏的IE瀏覽器窗口，模擬用戶操作滑鼠、鍵盤點擊廣告，由於病毒屏蔽了廣告頁面的聲音，用戶難以發現自己已被挾持。其次，病毒會利用受害者電腦挖「門羅幣」，病毒挖礦時將大量佔用CPU資源，電腦由此會變慢、發熱，用戶能聽到電腦風扇高速運行產生的噪音。

火絨安全團隊表示，該病毒下載的廣告鏈接約400餘個，由於廣告頁面被病毒隱藏，並沒有在用戶電腦端展示出來，廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。

而令人震驚的是，安全廠商們普遍認為大型互聯網公司簽名的程序是安全的，病毒也藉此通過安全軟體的「白名單」信任機制來躲避查殺。

火絨安全團隊根據技術溯源後發現，雖然這些病毒代碼具有極高同源性，但卻屬於不同廠商，這些程序在外網已經活躍很長時間，天翼客戶端在兩年前（2015年12月）就攜帶該後門代碼，網際快車的安裝包更是早在2014年就攜帶該後門代碼。

目前，"火絨安全軟體"最新版本已可查殺該病毒。火絨安全工程師建議電信校園用戶刪除「天翼校園客戶端」安裝目錄中的speedtest.dll文件，也呼籲上述攜帶該病毒的軟體提供商，迅速解決該問題，火絨安全團隊可提供支持。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: