日前,火绒安全实验室发出警报,中国电信校园门户网站提供下载的天翼校园客户端携带后门病毒Backdoor/Modloader,该病毒可随时接收远程指令,利用被感染电脑刷广告流量和挖矿(生产门罗币),让这些校园用户的电脑沦为他们牟取利益的肉鸡。
天翼校园客户端用户群体庞大,所有在中国电信校园门户网站下载过天翼校园客户端的用户都有可能被感染。火绒安全软件最新版本可查杀该病毒。
通过火绒威胁情报系统追溯该病毒代码可以发现,网际快车、一字节恢复,以及中国电信的一款农历日历(ChineseCalendar)等软件也都携带同样的病毒代码,该段病毒代码的同源性代码,也曾出现在火绒之前发布过的Kuzzle病毒报告中(火绒官方网站:《恶性病毒Kuzzle攻破安全厂商白名单》)。
据火绒安全团队分析,病毒感染电脑后会产生刷广告流量和挖矿两种危害。首先,病毒会创建一个隐藏的IE浏览器窗口,模拟用户操作鼠标、键盘点击广告,由于病毒屏蔽了广告页面的声音,用户难以发现自己已被挟持。其次,病毒会利用受害者电脑挖门罗币,病毒挖矿时将大量占用CPU资源,电脑由此会变慢、发热,用户能听到电脑风扇高速运行产生的噪音。
火绒安全团队表示,该病毒下载的广告链接约余个,由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT、风行网等等。
而令人震惊的是,安全厂商们普遍认为大型互联网公司签名的程序是安全的,病毒也借此通过安全软件的白名单信任机制来躲避查杀。
火绒安全团队根据技术溯源后发现,虽然这些病毒代码具有极高同源性,但却属于不同厂商,这些程序在外网已经活跃很长时间,天翼客户端在两年前(年12月)就携带该后门代码,网际快车的安装包更是早在年就携带该后门代码。
目前,火绒安全软件最新版本已可查杀该病毒。火绒安全工程师建议电信校园用户删除天翼校园客户端安装目录中的speedtest.dll文件,也呼吁上述携带该病毒的软件提供商,迅速解决该问题,火绒安全团队可提供支持。