当前位置: 网站首页 > 成功案例
成功案例
中国电信糗大了!官方客户端中毒 被用来挖矿
时间:2020-01-03  来源:www.oaled.com

近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)下载的“天翼校园客户端”也被植入了后门病毒,可以接受黑客远程命令,利用中毒电脑刷广告流量,挖掘生产“梦露”。

安装包运行后,将后门病毒植入计算机,然后访问存储在远程C& C服务器中的广告配置文件,然后构建隐藏的IE浏览器窗口以执行黑刷通信,并释放梦露硬币矿工病毒。矿业。

安装包的整体逻辑如下所示:

安装客户端后,speedtest.dll文件将在安装目录中释放,扮演病毒“父”的角色,执行下载,释放其他病毒模块,最后完成广告流量并实现挖掘。

在解密的广告刷模块执行后,它将创建一个隐藏的IE窗口,读取云命令,模拟用户操作鼠标,键盘点击广告,并“阻止”声卡播放广告页面中的声音以防止广告。奇怪的是,当流不可见时,用户仅听到声音。

该病毒已下载超过400个广告链接。由于广告页面被病毒隐藏而未显示在用户的计算机上,因此广告客户增加了流量费用。受腾讯,百度,搜狗,淘宝,IT168,丰兴等在内的病毒点击欺诈影响的广告客户并不缺乏。

通过对病毒挖掘模块的分析,发现天一校园客户挖出了“Menrocoin”。这是一种模拟“比特币”出现的数字虚拟货币,价格接近500美元。

当病毒开始“挖掘”时,用户可以观察到计算机CPU资源飙升,计算机性能更差,热量上升,计算机风扇将高速运行,并且计算机噪声也会相应增加。

经过调查,发现中国历有签名“中国电信股份有限公司”还有后门病毒。

分析结果令人震惊。安全厂商普遍认为,大型互联网公司签署的程序是安全的,但中国电信江苏分公司的官方程序如何嵌入病毒中仍然是未知数。