中国电信尴尬！官方客户端中毒其实是用来挖矿的

虽然虚拟货币受到各种限制，但它所蕴含的财富还是让太多人蜂拥而至，甚至干一些卑鄙的事情，尤其是传播病毒，让毒矿的电脑为自己服务。

近日，中国电信江苏分公司校园门户网站（pre.f-young.cn）提供下载的“天翼校园客户端”也被种下。进入后门病毒，接受黑客远程命令，利用中毒电脑刷广告流量，挖矿生产“门罗币”。

安装包运行后，将后门病毒植入电脑，然后访问远程C&C服务器中存储的广告配置文件，构建隐藏的IE浏览器窗口。执行暗刷流量也会释放门罗币矿工病毒进行挖矿。

安装包的整体逻辑如下图所示：

客户端安装完成后，安装目录下会释放speedtest.dll文件。扮演病毒“妈妈”的角色，进行下载用校园网挖矿是什么意思，释放其他病毒模块，最终完成广告流量，实现挖矿。

解密后的广告刷机模块执行后用校园网挖矿是什么意思，会创建一个隐藏的IE窗口，读取云端指令，模拟用户操作鼠标，键盘点击广告，同时“屏蔽”声音卡在广告页面播放声音，防止用户在刷广告流量时只听到声音看不到形状的感觉。

该病毒下载了400多个广告链接。由于广告页面被病毒隐藏，无法在用户电脑上显示，广告主白白增加流量成本。受病毒点击欺诈影响的广告主众多，如腾讯、百度、搜狗、淘宝、IT168、风行网等。

通过分析该病毒的挖矿模块，发现天翼校园客户端挖矿“门罗币”。这是一种模仿“比特币”外观的数字虚拟货币，单价接近500元。

当病毒开始“挖矿”时，用户可以观察到电脑CPU资源使用率飙升，电脑性能下降，发热量增加，此时电脑风扇会高速运转，电脑噪音也会增加。

经调查，发现有一份与“中国电信股份有限公司”签约的中国年历。也有后门病毒。

分析结果令人震惊。安全厂商普遍认为大型互联网公司签署的程序是安全的，但中国电信江苏分公司的官方程序是病毒是如何被植入的，目前还不得而知。