信息來源:TechWeb
IT之家11月3日消息 來自火絨安全實驗室的消息顯示,中國電信校園門戶網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”,該病毒可隨時接收遠程指令,利用被感染電腦刷廣告流量和“挖礦”(生產(chǎn)“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。
據(jù)分析,除了“天翼校園客戶端”外,包括“網(wǎng)際快車”、“一字節(jié)恢復(fù)”,以及中國電信的一款農(nóng)歷日歷(Chinese Calendar)等軟件也都攜帶同樣的病毒代碼,病毒感染電腦后會產(chǎn)生刷廣告流量和挖礦兩種危害。
首先,病毒會創(chuàng)建一個隱藏的IE瀏覽器窗口,模擬用戶操作鼠標(biāo)、鍵盤點擊廣告,由于病毒屏蔽了廣告頁面的聲音,用戶難以發(fā)現(xiàn)自己已被挾持。其次,病毒會利用受害者電腦挖“門羅幣”,病毒挖礦時將大量占用CPU資源,電腦由此會變慢、發(fā)熱,用戶能聽到電腦風(fēng)扇高速運行產(chǎn)生的噪音。
目前不少的安全軟件無法查殺該病毒,而病毒則依靠軟件的白名單機制躲過查殺。該病毒已經(jīng)活躍很長時間,天翼客戶端在兩年前(2015年12月)就攜帶該后門代碼,網(wǎng)際快車的安裝包更是早在2014年就攜帶該后門代碼。
在本次的“天翼校園客戶端帶毒”事件當(dāng)中,廣東地區(qū)成為重災(zāi)區(qū),早在2015年12月,該病毒就已被病毒團伙植入到天翼客戶端。通過排查發(fā)現(xiàn),包括廣東省肇慶市、中山市、珠海市、茂名市等21個市、208家高校均可能受到該病毒影響。下方是可能受到此次病毒影響的學(xué)校名單。
據(jù)IT之家了解,“天翼校園客戶端”是中國電信覆蓋的大學(xué)校區(qū)大學(xué)生上網(wǎng)的必備軟件,使用電信寬帶的大學(xué)生必須在每次上網(wǎng)時使用該客戶端實現(xiàn)“一次一密”認(rèn)證撥號上網(wǎng),該客戶端起到限制多人共用一個賬號的作用,接入終端最多不超過一臺,也就是說常規(guī)的路由器無法分享無線網(wǎng)絡(luò)。
事實上這并不是該客戶端第一次曝出問題,在去年12月就有在校大學(xué)生在知乎曝出天翼校園客戶端自帶木馬病毒導(dǎo)致全國大面積Win10藍屏,目前尚不能夠確認(rèn)導(dǎo)致Win10藍屏就是該客戶端導(dǎo)致,但知乎網(wǎng)友調(diào)查后表示,所有出問題的機器都裝了天翼校園客戶端。