天一校园客户端被植入病毒中毒电脑，用于“挖矿”

腾讯科技讯（孙宏超）11月2日消息电脑挖矿被禁止，今早，金山安全实验室监测发现，中国电信（）江苏分公司校园门户（pre.f-young.cn）提供下载的“天翼校园客户端”植入后门接受黑客远程指令的病毒，利用中毒的电脑刷广告流量电脑挖矿被禁止，挖矿生产“门罗币”。

中毒客户端的数字签名

“天翼校园客户端”安装包运行后，将后门病毒植入电脑。该病毒会访问远程C&C服务器存储的广告配置文件，然后构建隐藏的IE浏览器窗口进行暗刷流量，同时释放门罗币矿工病毒进行挖矿。安装包的整体逻辑如下图所示：

天翼校园客户端后门病毒工作流程

天翼校园客户端安装完成后，安装目录下会释放speedtest.dll文件，speedtest.dll将扮演病毒“母体”的角色。执行下载，释放其他病毒模块，最终完成广告流量，实现挖矿。

病毒父文件“speedtest.dll”的作用

解密后的广告刷机模块执行后，会创建一个隐藏的IE窗口，读取云端命令，模拟用户操作鼠标键盘点击广告，同时“屏蔽”声卡播放在广告页面发出声音，防止广告刷屏。奇怪的是，用户在交通中只能听到它的声音，而不能听到它的形状。

金山安全实验室监测发现，该病毒下载的广告链接超过400个。由于广告页面被病毒隐藏，没有在用户电脑上显示，广告主白白增加流量成本。受病毒点击欺诈影响的广告主众多，如腾讯、百度、搜狗、淘宝、IT168、风行网等。

工程师通过分析该病毒的挖矿模块发现，天翼校园客户端挖矿的是“门罗币”。门罗币是一种模仿“比特币”的数字虚拟货币。利用计算机硬件资源挖掘虚拟货币，一般称为“挖矿”。目前一个比特币的价格已经达到4万元，一个门罗币的价格接近500元。在利益的驱使下，许多病毒黑行业从业者使得挖矿病毒大范围传播，使得很多受害者的电脑成为犯罪分子的“矿工”。

当病毒开始“挖矿”时，用户可以观察到电脑的CPU资源使用率飙升，电脑性能下降，发热量增加。此时电脑风扇会高速运转，电脑噪音也会增大。

病毒开始挖矿时计算机CPU几乎已满

金山安全实验室对病毒进行溯源分析，发现带有后门病毒的安装包并不是唯一的“天翼校园客户端”。经查，农历（Chinese Calendar）的后门病毒也存在。

日历程序的数字签名

分析结果令人震惊，安全厂商普遍认为大型互联网公司签署的程序是安全的。中国电信江苏分公司的官方程序是如何植入的，不得而知。

金山毒霸已升级查杀病毒。建议江苏电信校园客户删除“天翼校园客户端”安装目录下的speedtest.dll文件，并呼吁中国电信江苏分公司尽快对涉及的软件进行检查，更换损坏的磁带。存在于互联网上。有毒的版本。同时，建议检查内网的安全性，排除黑客攻击或其他嫌疑。如果被黑客或不怀好意的人使用，随时可能造成大规模的惨烈后果。

金山毒霸杀掉天翼校园客户端内置挖矿病毒