当前位置:数码 > 要闻 > 正文

电信天翼客户端被曝现挖矿后门

2017-11-03 13:55:14       来源:新华网

日前,火绒安全实验室发出警报, 中国电信校园门户网站提供下载的“天翼校园客户端”携带后门病毒“Backdoor/Modloader”,该病毒可随时接收远程指令,利用被感染电脑刷广告流量和 “挖矿”(生产“门罗币”),让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。

由于“天翼校园客户端”用户群体庞大,所有在中国电信校园门户网站下载过“天翼校园客户端”的用户都有可能被感染。"火绒安全软件"最新版本可查杀该病毒。

通过“火绒威胁情报系统”追溯该病毒代码可以发现,“网际快车”、“一字节恢复”,以及中国电信的一款农历日历等软件也都携带同样的病毒代码,该段病毒代码的同源性代码,也曾出现在火绒之前发布过的Kuzzle病毒报告中(火绒官方网站:《恶性病毒Kuzzle”攻破”安全厂商白名单》)。

据火绒安全团队分析,病毒感染电脑后会产生刷广告流量和挖矿两种危害。首先,病毒会创建一个隐藏的IE浏览器窗口,模拟用户操作鼠标、键盘点击广告,由于病毒屏蔽了广告页面的声音,用户难以发现自己已被挟持。其次,病毒会利用受害者电脑挖“门罗币”,病毒挖矿时将大量占用CPU资源,电脑由此会变慢、发热,用户能听到电脑风扇高速运行产生的噪音。

火绒安全团队表示,该病毒下载的广告链接约400余个,由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

而令人震惊的是,一些安全厂商认为大型互联网公司签名的程序是安全的,病毒也借此通过安全软件的“白名单”信任机制来躲避查杀。

火绒安全团队根据技术溯源后发现,虽然这些病毒代码具有极高同源性,但却属于不同厂商,这些程序在外网已经活跃很长时间,天翼客户端在两年前(2015年12月)就携带该后门代码,网际快车的安装包更是早在2014年就携带该后门代码。

目前,"火绒安全软件"最新版本已可查杀该病毒。火绒安全工程师建议电信校园用户删除“天翼校园客户端”安装目录中的speedtest.dll文件,也呼吁上述携带该病毒的软件提供商,迅速解决该问题,火绒安全团队可提供支持。

科学 猎奇 娱乐 游戏 汽车 手游 金融 家居

新闻频道
国内国际社会评论文史专题经济新闻图库老照片
军事频道
军事要闻中国军情国际军情军事历史网友原创军事专题军事图库武器装备军事文化
汽车频道
车闻Update漫话车型漫记车映像实拍解析行业动态新车资讯独家评测汽车生活人文之旅
教育频道
留学移民高考中小学拒讲堂师说商道商论
游戏频道
游点意思网络游戏网页游戏单机游戏手机游戏军事游戏游戏产业发号中心游戏美女图说游戏囧游囧事
科技频道
业界互联网行业通信数码手机平板IT硬件相机笔记本家电产品库
旅游频道
X旅行视界目的地 美图发现社区
文化频道
专题非遗沙龙历史艺文博览读书图库书画禅文化
书画频道
资讯收藏展览在线展厅艺术家视觉专题
体育频道
国际足球中国足球NBACBA 综合体育图片汇总专题策划
视频频道
新闻军事中华出品原创娱乐纪录片微电影决胜海陆空
娱乐频道
明星电影电视音乐专题图库论坛
公益频道
老兵出镜老兵动态老兵资料库关爱老兵在行动公益组织公益人物
城市频道
城市聚焦城市设计城市生活城市策划城 市图赏城市加盟城市论坛
社区频道
中华论坛网上谈兵中华拍客社会时政国际风云生活消费休闲旅游美丽女人娱乐八卦经济风云情感世界文学天地
好医生频道
保健养生疾病防治行业资讯名医谈健康 医生专栏食疗跑步
经济频道
国内宏观海外经济产经商贸时尚消费电商眼球儿企业故事专栏评说识局经济