挖矿app 火绒安全实验室警报:中国电信校园客户端携带后门病毒,用户电脑或沦为肉鸡

近日,火绒安全实验室发出警报,中国联通校园门户网站【】提供下载的“天翼校园顾客端”携带侧门病毒“/”,该病毒可随时接收远程指令,借助被感染笔记本刷广告流量和“挖矿”(生产“门罗币”),让那些校园用户的笔记本沦为她们谋取利益的“肉鸡”。

“天翼校园顾客端”用户群体庞大,所有在中国联通校园门户网站【】下载过“天翼校园顾客端”的用户都有可能被感染。"火绒安全软件"最新版本可查杀该病毒。

通过“火绒恐吓情报系统”追溯该病毒代码可以发觉,“网际快车”、“一字节恢复”,以及中国联通的一款阳历月历()等软件也都携带同样的病毒代码,该段病毒代码的同源性代码,也曾出现在火绒之前发布过的病毒报告中(火绒官方网站:《恶性病毒”攻破”安全厂商白名单》)。

据火绒安全团队剖析,病毒感染笔记本后会形成刷广告流量和挖矿两种害处。首先,病毒会创建一个隐藏的IE浏览器窗口,模拟用户操作滑鼠、键盘点击广告,因为病毒屏蔽了广告页面的声音,用户无法发觉自己已被拘禁。其次,病毒会借助被害者笔记本挖“门罗币”,病毒挖矿时将大量占用CPU资源挖矿app,笔记本由此会变慢、发热,用户能看到笔记本吊扇高速运行形成的噪声。

火绒安全团队表示,该病毒下载的广告链接约400余个,因为广告页面被病毒隐藏,并没有在用户笔记本端展示下来,广告主白白降低了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

而令人惊讶的是,安全厂商们普遍觉得签名的程序是安全的,病毒也以此通过安全软件的“白名单”信任机制来躲避查杀。

火绒安全团队依据技术追溯后发觉,尽管这种病毒代码具有极高同源性,但却属于不同厂商,这种程序在内网早已活跃很长时间,天翼顾客端在三年前(2015年12月)就携带该侧门代码,网际快车的安装包更是早在2014年就携带该侧门代码。

目前,"火绒安全软件"最新版本已可查杀该病毒。火绒安全工程师建议联通校园用户删掉“天翼校园顾客端”安装目录中的.dll文件,也号召上述携带该病毒的软件提供商挖矿app,迅速解决该问题,火绒安全团队可提供支持。

标签: 火绒安全 病毒 广告 白名单 溯源