【PConline 资讯】尽管受到各种限制,但不得不承认的是,虚拟货币所蕴含的巨大财富仍叫很多人趋之若鹜,甚至说利用非法途径。自己挖矿不仅辛苦还见效慢,但若遥控他人电脑为自己挖矿可就不一样了。
近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”,被植入了后门病毒,黑客可远程遥控那些受到感染的电脑刷广告流量挖矿。通过分析病毒的挖矿模块发现,天翼校园客户端挖的是“门罗币”,是一种模仿“比特币”出现的数字虚拟币,一枚价格大约在500元。
安装包运行后病毒即被植入电脑,随即访问远程C&C服务器存放的广告配置文件,构造隐藏IE浏览器窗口执行暗刷流量,同时还会释放“门罗币”挖矿者病毒进行挖矿。当病毒开始“挖矿”时,用户能观察到计算机CPU资源占用飙升,电脑性能变差,发热量上升,电脑风扇此时会高速运行,电脑噪音也会随之增加。
如上如所示,客户端安装后其安装目录中会释放speedtest.dll文件,扮演病毒“母体”的角色,执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿;而解密后的广告刷量模块被执行后,会创建一个隐藏的IE窗口读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。
此外,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。对此,安全厂商普遍认为大型互联网公司签名的程序是安全的,但中国电信江苏分公司的官方程序是如何被植入病毒,目前尚不得而知。