中國電信糗大了！官方客户端中毒竟被用來挖礦

雖然虛擬貨幣受到各種限制約束，但其中藴含的財富依然讓太多人趨之若鶩，甚至做出一些不齒之事，尤其是散播病毒，讓中毒者的電腦為自己挖礦。

近日，中國電信江蘇分公司校園門户網站（pre.f-young.cn）提供下載的“天翼校園客户端”也被植入後門病毒，可接受黑客遠程指令，利用中毒電腦刷廣告流量，挖礦生產“門羅幣”。

安裝包運行後，後門病毒即被植入電腦，隨即訪問遠程C&C服務器存放的廣告配置文件，然後構造隱藏IE瀏覽器窗口執行暗刷流量，同時也會釋放門羅幣挖礦者病毒進行挖礦。

安裝包整體邏輯如下圖所示：

客户端安裝後，安裝目錄中會釋放speedtest.dll文件，扮演病毒“母體”角色，執行下載、釋放其他病毒模塊，最終完成刷廣告流量和實現挖礦。

解密後的廣告刷量模塊被執行後，它會創建一個隱藏的IE窗口，讀取雲端指令，後台模擬用户操作鼠標、鍵盤點擊廣告，同時“屏蔽”聲卡播放廣告頁面中的聲音，防止刷廣告流量時用户只聞其聲不見其形而感到奇怪。

該病毒下載的廣告鏈接有400多個。由於廣告頁面被病毒隱藏，並沒有在用户電腦端展示出來，廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。

通過分析病毒的挖礦模塊發現，天翼校園客户端挖的是“門羅幣”。這是一種模仿“比特幣”出現的數字虛擬幣，一枚價格接近500元。

當病毒開始“挖礦”時，用户能觀察到計算機CPU資源佔用飆升，電腦性能變差，發熱量上升，電腦風扇此時會高速運行，電腦噪音也會隨之增加。

分析結果令人震驚，安全廠商們普遍認為大型互聯網公司簽名的程序是安全的，但中國電信江蘇分公司的官方程序是如何被植入病毒，目前尚不得而知。