加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 业界 > 正文

中国电信糗大了!官方客户端中毒 被用来挖矿

发布时间:2017-11-04 06:14:01 所属栏目:业界 来源:快科技
导读:近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”也被植入后门病毒,可接受黑客远程指令,利用中毒电脑刷广告流量,挖矿生产“门罗币”。 安装包运行后,后门病毒即被植入电脑,随即访问远程CC服务器存放的广告配置文件

近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”也被植入后门病毒,可接受黑客远程指令,利用中毒电脑刷广告流量,挖矿生产“门罗币”。

中国电信糗大了!官方客户端中毒 被用来挖矿

安装包运行后,后门病毒即被植入电脑,随即访问远程C&C服务器存放的广告配置文件,然后构造隐藏IE浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。

安装包整体逻辑如下图所示:

中国电信糗大了!官方客户端中毒 被用来挖矿

客户端安装后,安装目录中会释放speedtest.dll文件,扮演病毒“母体”角色,执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。

中国电信糗大了!官方客户端中毒 被用来挖矿

解密后的广告刷量模块被执行后,它会创建一个隐藏的IE窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。

该病毒下载的广告链接有 400 多个。由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

通过分析病毒的挖矿模块发现,天翼校园客户端挖的是“门罗币”。这是一种模仿“比特币”出现的数字虚拟币,一枚价格接近 500 元。

当病毒开始“挖矿”时,用户能观察到计算机CPU资源占用飙升,电脑性能变差,发热量上升,电脑风扇此时会高速运行,电脑噪音也会随之增加。

中国电信糗大了!官方客户端中毒 被用来挖矿

排查之后发现,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。

中国电信糗大了!官方客户端中毒 被用来挖矿

分析结果令人震惊,安全厂商们普遍认为大型互联网公司签名的程序是安全的,但中国电信江苏分公司的官方程序是如何被植入病毒,目前尚不得而知。

中国电信糗大了!官方客户端中毒 被用来挖矿

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读