11月2日消息，今天上午金山毒霸安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，中國(guó)電信(微博)江蘇分公司校園門(mén)戶(hù)網(wǎng)站（pre.f-young.cn）提供下載的“天翼校園客戶(hù)端”被植入后門(mén)病毒，該后門(mén)病毒接受黑客遠(yuǎn)程指令，利用中毒電腦刷廣告流量和挖礦生產(chǎn)“門(mén)羅幣”。

　　帶毒客戶(hù)端的數(shù)字簽名

“天翼校園客戶(hù)端”安裝包運(yùn)行后，后門(mén)病毒即被植入電腦。該病毒會(huì)訪問(wèn)遠(yuǎn)程C&C服務(wù)器存放的廣告配置文件，然后構(gòu)造隱藏IE瀏覽器窗口執(zhí)行暗刷流量，同時(shí)也會(huì)釋放門(mén)羅幣挖礦者病毒進(jìn)行挖礦。安裝包整體邏輯如下圖所示：

　　天翼校園客戶(hù)端后門(mén)病毒的工作流程

天翼校園客戶(hù)端安裝后，安裝目錄中會(huì)釋放speedtest.dll文件，speedtest.dll扮演病毒“母體”角色。執(zhí)行下載、釋放其他病毒模塊，最終完成刷廣告流量和實(shí)現(xiàn)挖礦。

　　病毒母體文件“speedtest.dll”的功能

解密后的廣告刷量模塊被執(zhí)行后，它會(huì)創(chuàng)建一個(gè)隱藏的IE窗口，讀取云端指令，后臺(tái)模擬用戶(hù)操作鼠標(biāo)、鍵盤(pán)點(diǎn)擊廣告，同時(shí)“屏蔽”聲卡播放廣告頁(yè)面中的聲音，防止刷廣告流量時(shí)用戶(hù)只聞其聲不見(jiàn)其形而感到奇怪。

金山毒霸安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)該病毒下載的廣告鏈接約400余個(gè)，由于廣告頁(yè)面被病毒隱藏，并沒(méi)有在用戶(hù)電腦端展示出來(lái)，廣告主白白增加了流量成本。受該病毒點(diǎn)擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風(fēng)行網(wǎng)等等。

通過(guò)分析病毒的挖礦模塊，工程師們發(fā)現(xiàn)天翼校園客戶(hù)端挖的是“門(mén)羅幣”。門(mén)羅幣，是一種模仿“比特幣”出現(xiàn)的數(shù)字虛擬幣，利用電腦硬件資源挖虛擬幣一般被稱(chēng)為“挖礦”。目前，一枚比特幣的價(jià)格已達(dá)4萬(wàn)元人民幣，一枚門(mén)羅幣的價(jià)格接近500元。受利益驅(qū)動(dòng)，眾多病毒黑產(chǎn)從業(yè)人員制作挖礦病毒廣泛傳播，讓眾多受害者電腦淪為不法分子的“礦工”。

當(dāng)病毒開(kāi)始“挖礦”時(shí)，用戶(hù)能觀察到計(jì)算機(jī)CPU資源占用飆升，電腦性能變差，發(fā)熱量上升。電腦風(fēng)扇此時(shí)會(huì)高速運(yùn)行，電腦噪音也會(huì)隨之增加。

　　病毒開(kāi)始挖礦時(shí)，計(jì)算機(jī)CPU幾乎滿(mǎn)載

金山毒霸安全實(shí)驗(yàn)室對(duì)病毒進(jìn)行溯源分析，發(fā)現(xiàn)帶有該后門(mén)病毒的安裝包并不只有“天翼校園客戶(hù)端”，排查之后，還發(fā)現(xiàn)簽名為“中國(guó)電信股份有限公司”的一款農(nóng)歷日歷（Chinese Calendar），同樣存在該后門(mén)病毒。

　　日歷程序的數(shù)字簽名

分析結(jié)果令人震驚，安全廠商們普遍認(rèn)為大型互聯(lián)網(wǎng)公司簽名的程序是安全的。中國(guó)電信江蘇分公司的官方程序是如何被植入病毒，目前尚不得而知。

金山毒霸已升級(jí)查殺該病毒，建議江蘇省電信校園客戶(hù)刪除“天翼校園客戶(hù)端”安裝目錄中的speedtest.dll文件，也呼吁中國(guó)電信江蘇省分公司盡快檢查所涉軟件，替換網(wǎng)上存在的帶毒版本。同時(shí)，建議檢查內(nèi)網(wǎng)安全，以排除黑客入侵或其他嫌疑，如果被黑客或不良目的人士利用，隨時(shí)可能制造大范圍的悲劇性后果。