电信天翼客户端携带病毒疯狂挖矿多款软件携带同样病毒代码

日前，火绒安全实验室发出警报，中国电信校园门户网站【zsteduapp.10000.gd.cn】提供下载的“天翼校园客户端”携带后门病毒“Backdoor/Modloader”，该病毒可随时接收远程指令，利用被感染电脑刷广告流量和 “挖矿”(生产“门罗币”)，让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。

“天翼校园客户端”用户群体庞大，所有在中国电信校园门户网站【zsteduapp.10000.gd.cn】下载过“天翼校园客户端”的用户都有可能被感染。火绒安全软件最新版本可查杀该病毒。

通过“火绒威胁情报系统”追溯该病毒代码可以发现，“网际快车”、“一字节恢复”，以及中国电信的一款农历日历(Chinese Calendar)等软件也都携带同样的病毒代码，该段病毒代码的同源性代码，也曾出现在火绒之前发布过的Kuzzle病毒报告中(火绒官方网站：《恶性病毒Kuzzle”攻破”安全厂商白名单》)。

据火绒安全团队分析，病毒感染电脑后会产生刷广告流量和挖矿两种危害。首先，病毒会创建一个隐藏的IE浏览器窗口，模拟用户操作鼠标、键盘点击广告，由于病毒屏蔽了广告页面的声音，用户难以发现自己已被挟持。其次，病毒会利用受害者电脑挖“门罗币”，病毒挖矿时将大量占用CPU资源，电脑由此会变慢、发热，用户能听到电脑风扇高速运行产生的噪音。

火绒安全团队表示，该病毒下载的广告链接约400余个，由于广告页面被病毒隐藏，并没有在用户电脑端展示出来，广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

而令人震惊的是，安全厂商们普遍认为大型互联网公司签名的程序是安全的，病毒也借此通过安全软件的“白名单”信任机制来躲避查杀。

火绒安全团队根据技术溯源后发现，虽然这些病毒代码具有极高同源性，但却属于不同厂商，这些程序在外网已经活跃很长时间，天翼客户端在两年前(2015年12月)就携带该后门代码，网际快车的安装包更是早在2014年就携带该后门代码。