电信天翼客户端携带病毒 多款软件传递同样病毒代码

本篇文章922字，读完约2分钟

几天前，天鹅绒安全实验室发出了警报。中国电信校园门户网站提供的下载“天一校园客户端”带有后门病毒“后门/modloader”，可以随时接收远程指令，利用被感染的计算机刷广告流量和“挖掘”(生产“门罗币”)，使这些校园用户的计算机成为“为他们的利益”

由于“天一校园客户端”的庞大用户群，所有在中国电信校园门户网站上下载“天一校园客户端”的用户都有可能被感染。最新版本的“tinder安全软件”可以杀死病毒。

通过“天鹅绒威胁情报系统”追踪病毒代码，我们可以发现“flashget”、“一字节恢复”和中国电信的阴历等软件都带有相同的病毒代码，该病毒代码的同源性代码也出现在天鹅绒之前发布的酷儿病毒报告中(天鹅绒官方网站:“恶性病毒酷儿”打破了“安全厂商白名单”)。

根据廷德尔安全团队的分析，该病毒会造成两种危害:广告流量和挖掘。首先，病毒会创建一个隐藏的ie浏览器窗口，模拟用户操作鼠标，用键盘点击广告。由于病毒屏蔽了广告页面的声音，用户很难发现自己被扣为人质。其次，病毒会利用受害者的电脑来挖掘“门罗币”(Monroe Coin)，挖掘时会占用大量的cpu资源，从而使电脑变慢发热，用户可以听到电脑风扇高速运转时产生的噪音。

天鹅绒安全团队表示，该病毒下载了大约400个广告链接。由于广告页面被病毒隐藏，并且没有显示在用户的电脑上，广告商白白增加了流量成本。受此病毒点击欺诈影响的广告商包括腾讯、百度、搜狗、淘宝、it168、Fengxing.com等。

令人震惊的是，一些安全供应商认为由大型互联网公司签署的程序是安全的，病毒可以通过安全软件的“白名单”信任机制来避免死亡。

根据技术可追溯性，天鹅绒安全团队发现，虽然这些病毒代码有很高的同源性，但它们属于不同的制造商。这些程序在外部网络中已经活跃了很长时间。天一客户端两年前(2015年12月)就携带了后门代码，而flashget安装包早在2014年就携带了后门代码。

目前，最新版本的“廷德尔安全软件”可以杀死病毒。天鹅绒安全工程师建议电信园区用户删除天一园区客户端安装目录中的speedtest.dll文件，并呼吁上述携带病毒的软件提供商迅速解决问题，天鹅绒安全团队可以提供支持。