雖然虛擬貨幣受到各種限制約束,但其中蘊含的財富依然讓太多人趨之若鶩,甚至做出一些不齒之事,尤其是散播病毒,讓中毒者的電腦為自己挖礦。
近日,中國電信江蘇分公司校園門戶網站 ( pre.f-young.cn ) 提供下載的 " 天翼校園客戶端 " 也被植入後門病毒,可接受黑客遠程指令,利用中毒電腦刷廣告流量,挖礦生產 " 門羅幣 "。
安裝包運行後,後門病毒即被植入電腦,隨即訪問遠程 C&C 服務器存放的廣告配置文件,然後構造隱藏 IE 瀏覽器窗口執行暗刷流量,同時也會釋放門羅幣挖礦者病毒進行挖礦。
安裝包整體邏輯如下圖所示:
客戶端安裝後,安裝目錄中會釋放speedtest.dll文件,扮演病毒 " 母體 " 角色,執行下載、釋放其他病毒模塊,最終完成刷廣告流量和實現挖礦。
解密後的廣告刷量模塊被執行後,它會創建一個隱藏的 IE 窗口,讀取雲端指令,後臺模擬用戶操作鼠標、鍵盤點擊廣告,同時 " 屏蔽 " 聲卡播放廣告頁面中的聲音,防止刷廣告流量時用戶隻聞其聲不見其形而感到奇怪。
該病毒下載的廣告鏈接有 400 多個。由於廣告頁面被病毒隱藏,並沒有在用戶電腦端展示出來,廣告主白白增加瞭流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。
通過分析病毒的挖礦模塊發現,天翼校園客戶端挖的是 " 門羅幣 "。這是一種模仿 " 比特幣 " 出現的數字虛擬幣,一枚價格接近 500 元。
當病毒開始 " 挖礦 " 時,用戶能觀察到計算機 CPU 資源占用飆升,電腦性能變差,發熱量上升,電腦風扇此時會高速運行,電腦噪音也會隨之增加。
排查之後發現,簽名為 " 中國電信股份有限公司 " 的一款農歷日歷 ( Chinese Calendar ) 同樣存在該後門病毒。
分析結果令人震驚,安全廠商們普遍認為大型互聯網公司簽名的程序是安全的,但中國電信江蘇分公司的官方程序是如何被植入病毒,目前尚不得而知。
