天翼校园客户端“中毒”，江苏、广东、湖南成重灾区

还记得刚进大学校园时向你热情推销手机卡的学姐学长们吗？

“学妹，办卡吗？移动的，一次性充500话费送手机，还提供宽带呢。”

“学弟，你看看这个套餐，包月58，3G流量随便刷，还有300分钟全国通话。”

……

为了拉拢新生用自家的手机卡，各大通讯公司打出种种优惠活动，其中就包括提供包年宽带服务。学生只要下载某个移动通讯客户端输入自己的手机号及密码就可以登陆上网。

而最近，多个安全实验室监测发现，中国电信校园门户网站【zsteduapp.10000.gd.cn】提供下载的“天翼校园客户端”携带后门病毒“Backdoor/Modloader”，该病毒可随时接收远程指令，利用被感染电脑刷广告流量和 “挖矿”（生产“门罗币”），让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。

▲带毒客户端的数字签名

据雷锋网(公众号：雷锋网)了解，“天翼校园客户端”安装包运行后，后门病毒即被植入电脑。该病毒会访问远程C&C服务器存放的广告配置文件，然后构造隐藏IE浏览器窗口执行暗刷流量，同时也会释放门罗币挖矿者病毒进行挖矿。

▲天翼校园客户端后门病毒的工作流程

天翼校园客户端安装后，安装目录中会释放speedtest.dll文件，speedtest.dll扮演病毒“母体”角色。执行下载、释放其他病毒模块，最终完成刷广告流量和实现挖矿。

▲病毒母体文件“speedtest.dll”的功能

解密后的广告刷量模块被执行后，它会创建一个隐藏的IE窗口，读取云端指令，后台模拟用户操作鼠标、键盘点击广告，同时“屏蔽”声卡播放广告页面中的声音，防止刷广告流量时用户只闻其声不见其形而感到奇怪。

而通过监测发现，该病毒下载的广告链接约400余个，由于广告页面被病毒隐藏，并没有在用户电脑端展示出来，广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

除了在各个广告主爸爸身上刷波广告流量，工程师们通过分析病毒的挖矿模块，发现天翼校园客户端挖的是“门罗币”。

门罗币，是一种模仿“比特币”出现的数字虚拟币，利用电脑硬件资源挖虚拟币一般被称为“挖矿”。目前，一枚比特币的价格已达4万元人民币，一枚门罗币的价格接近500元。

当病毒开始“挖矿”时，用户能观察到计算机CPU资源占用飙升，电脑性能变差，发热量上升。电脑风扇此时会高速运行，电脑噪音也会随之增加。

▲病毒开始挖矿时，计算机CPU几乎满载

所以如果有童靴发现自己的电脑噪声增大，持续发热，频频卡顿，不一定是该换电脑了，还可能中了病毒。

而通过对病毒进行溯源分析，金山毒霸安全实验室还发现带有该后门病毒的安装包并不只有“天翼校园客户端”，“网际快车”、“一字节恢复”，以及中国电信的一款农历日历（Chinese Calendar）等软件也都携带同样的病毒代码。

▲日历程序的数字签名

一个省的电信运营竟然与挖矿黑产挂上了，究竟病毒是如何被植入的？

猎豹移动安全专家对于江苏电信天翼校园被植入病毒的事件，有两种猜测：

第一是内部工作人员可能违规，私自参与病毒黑色产业；

第二是内部生产环境可能已遭黑客入侵，潜在的风险巨大。黑客可以控制一个省的电信用户去挖矿，黑客也可以控制如此巨大规模的终端用户电脑去实现其他目的，比如“发布违法信息内容”，或利用肉鸡电脑发起网络攻击。

有微博网友爆料，天翼校园客户端可能是外包管理不严，有被合作方坑的可能性。

虽然目前尚未查清中国电信江苏分公司的官方程序是如何被植入病毒的，但对于普遍认为大型互联网公司签名程序是安全的安全厂商们，这波脸打的有点疼。

而据雷锋网得到的最新消息，猎豹移动已在三省监测到天翼校园客户端沦陷，分别是江苏、广东、湖南。其他地方也有个例，但基本可以忽略。

而火绒安全团队也通过技术溯源发现，早在2015年12月，该病毒就已被病毒团伙植入到天翼客户端。

通过排查发现，包括广东省肇庆市、中山市、珠海市、茂名市等21个市、208家高校均可能受到该病毒影响，下图为所有安装了该客户端的学校名单：

中国电信官方微博今天下午六点发表声明称，已第一时间将该软件下架，完成紧急版本更新和组织专家展开调查。

不管是中招还是未中招的童靴，雷锋网编辑建议删除“天翼校园客户端”安装目录中的speedtest.dll文件，及时查杀病毒。还不放心的童靴，可以换个宽带来用了。

实际上，最近“挖矿”的事儿有点多。

不久前百度网址安全中心的同学监测发现一些网站页面中被植入了恶意脚本，打开后会占用大量CPU资源。经过分析发现网站中被植入的脚本是在线挖矿脚本，通过浏览器访问这些站点时挖矿脚本便会在后台执行占用大量CPU，电脑因此会变慢或卡顿。

植入到页面中的挖矿脚本都是源自网站Coinhive（https://coinhive.com/），其提供了可植入到网站页面中的门罗币挖矿JavaScript API，只需植入到网站页面中用户访问时便可实现门罗币挖矿。

浏览器打开此页面后电脑明显变慢，查看电脑任务管理发现CPU使用率立即大幅上升，闲置不到36%。关闭页面后CPU利用率立即下降，闲置超过97%，被占用的大量CPU正是被用来挖矿。

网站黑客入侵篡改是常见的安全问题，但现在入侵网站篡改的内容已经扩散到挖矿恶意代码。2017年10月以来检出的挖矿站点数量呈现上涨趋势，越来越多的站点被发现植入了挖矿脚本，因为被黑而被动参与挖矿的站点也在增多，国内网页挖坑的市场规模十分庞大。