中國(guó)電信天翼客戶(hù)端被曝挖礦后門(mén)：用戶(hù)電腦變“肉雞”

IT之家11月3日消息 來(lái)自火絨安全實(shí)驗(yàn)室的消息顯示，中國(guó)電信校園門(mén)戶(hù)網(wǎng)站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶(hù)端”攜帶后門(mén)病毒“Backdoor/Modloader”，該病毒可隨時(shí)接收遠(yuǎn)程指令，利用被感染電腦刷廣告流量和“挖礦”（生產(chǎn)“門(mén)羅幣”），讓這些校園用戶(hù)的電腦淪為他們牟取利益的“肉雞”。

據(jù)分析，除了“天翼校園客戶(hù)端”外，包括“網(wǎng)際快車(chē)”、“一字節(jié)恢復(fù)”，以及中國(guó)電信的一款農(nóng)歷日歷（Chinese Calendar）等軟件也都攜帶同樣的病毒代碼，病毒感染電腦后會(huì)產(chǎn)生刷廣告流量和挖礦兩種危害。

首先，病毒會(huì)創(chuàng)建一個(gè)隱藏的IE瀏覽器窗口，模擬用戶(hù)操作鼠標(biāo)、鍵盤(pán)點(diǎn)擊廣告，由于病毒屏蔽了廣告頁(yè)面的聲音，用戶(hù)難以發(fā)現(xiàn)自己已被挾持。其次，病毒會(huì)利用受害者電腦挖“門(mén)羅幣”，病毒挖礦時(shí)將大量占用CPU資源，電腦由此會(huì)變慢、發(fā)熱，用戶(hù)能聽(tīng)到電腦風(fēng)扇高速運(yùn)行產(chǎn)生的噪音。

目前不少的安全軟件無(wú)法查殺該病毒，而病毒則依靠軟件的白名單機(jī)制躲過(guò)查殺。該病毒已經(jīng)活躍很長(zhǎng)時(shí)間，天翼客戶(hù)端在兩年前（2015年12月）就攜帶該后門(mén)代碼，網(wǎng)際快車(chē)的安裝包更是早在2014年就攜帶該后門(mén)代碼。

在本次的“天翼校園客戶(hù)端帶毒”事件當(dāng)中，廣東地區(qū)成為重災(zāi)區(qū)，早在2015年12月，該病毒就已被病毒團(tuán)伙植入到天翼客戶(hù)端。通過(guò)排查發(fā)現(xiàn)，包括廣東省肇慶市、中山市、珠海市、茂名市等21個(gè)市、208家高校均可能受到該病毒影響。下方是可能受到此次病毒影響的學(xué)校名單。

據(jù)IT之家了解，“天翼校園客戶(hù)端”是中國(guó)電信覆蓋的大學(xué)校區(qū)大學(xué)生上網(wǎng)的必備軟件，使用電信寬帶的大學(xué)生必須在每次上網(wǎng)時(shí)使用該客戶(hù)端實(shí)現(xiàn)“一次一密”認(rèn)證撥號(hào)上網(wǎng)，該客戶(hù)端起到限制多人共用一個(gè)賬號(hào)的作用，接入終端最多不超過(guò)一臺(tái)，也就是說(shuō)常規(guī)的路由器無(wú)法分享無(wú)線(xiàn)網(wǎng)絡(luò)。

事實(shí)上這并不是該客戶(hù)端第一次曝出問(wèn)題，在去年12月就有在校大學(xué)生在知乎曝出天翼校園客戶(hù)端自帶木馬病毒導(dǎo)致全國(guó)大面積Win10藍(lán)屏，目前尚不能夠確認(rèn)導(dǎo)致Win10藍(lán)屏就是該客戶(hù)端導(dǎo)致，但知乎網(wǎng)友調(diào)查后表示，所有出問(wèn)題的機(jī)器都裝了天翼校園客戶(hù)端。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。