IT之家11月3日消息 來自火絨安全實驗室的消息顯示,中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的“天翼校園客戶端”攜帶后門病毒“Backdoor/Modloader”,該病毒可隨時接收遠程指令,利用被感染電腦刷廣告流量和“挖礦”(生產“門羅幣”),讓這些校園用戶的電腦淪為他們牟取利益的“肉雞”。
據分析,除了“天翼校園客戶端”外,包括“網際快車”、“一字節恢復”,以及中國電信的一款農歷日歷(Chinese Calendar)等軟件也都攜帶同樣的病毒代碼,病毒感染電腦后會產生刷廣告流量和挖礦兩種危害。
首先,病毒會創建一個隱藏的IE瀏覽器窗口,模擬用戶操作鼠標、鍵盤點擊廣告,由于病毒屏蔽了廣告頁面的聲音,用戶難以發現自己已被挾持。其次,病毒會利用受害者電腦挖“門羅幣”,病毒挖礦時將大量占用CPU資源,電腦由此會變慢、發熱,用戶能聽到電腦風扇高速運行產生的噪音。
目前不少的安全軟件無法查殺該病毒,而病毒則依靠軟件的白名單機制躲過查殺。該病毒已經活躍很長時間,天翼客戶端在兩年前(2015年12月)就攜帶該后門代碼,網際快車的安裝包更是早在2014年就攜帶該后門代碼。
在本次的“天翼校園客戶端帶毒”事件當中,廣東地區成為重災區,早在2015年12月,該病毒就已被病毒團伙植入到天翼客戶端。通過排查發現,包括廣東省肇慶市、中山市、珠海市、茂名市等21個市、208家高校均可能受到該病毒影響。下方是可能受到此次病毒影響的學校名單。
據IT之家了解,“天翼校園客戶端”是中國電信覆蓋的大學校區大學生上網的必備軟件,使用電信寬帶的大學生必須在每次上網時使用該客戶端實現“一次一密”認證撥號上網,該客戶端起到限制多人共用一個賬號的作用,接入終端最多不超過一臺,也就是說常規的路由器無法分享無線網絡。
事實上這并不是該客戶端第一次曝出問題,在去年12月就有在校大學生在知乎曝出天翼校園客戶端自帶木馬病毒導致全國大面積Win10藍屏,目前尚不能夠確認導致Win10藍屏就是該客戶端導致,但知乎網友調查后表示,所有出問題的機器都裝了天翼校園客戶端。
12月7日,江蘇某高校的大四學生小金(化名)正在準備期末論文,忽然電腦出現藍屏并自動重啟,起初他并沒有當一回事,然而一回頭卻發現舍友的電腦在十分鐘之內也重啟了三四次,這引起了他的注意。
【某受影響當事人電腦截圖】
小金想通過貼吧發帖來求助網友,卻驚奇地發現:貼吧一頁下來基本全是機器藍屏的帖子,并且周圍受影響的同學也越來越多,小金這才意識到:此事并不簡單!
近日,知乎網出現了一個名為「如何評價12月6日天翼校園客戶端自帶木馬病毒導致全國大面積win10藍屏的問題?」的討論,而以上內容便是宅客頻道(letshome)根據當事人描述來還原的場景。
根據雷鋒網宅客頻道(公眾號:宅客頻道)調查,南京市是此次事件的“重災區”之一。從12月7日開始,南京郵電大學、南京工程學院、南京曉莊學院等高校就陸續有學生表示自己“中招”,受影響的學生們自發組建了“藍屏受害者聯聯誼會”之類的QQ群,開始向外界尋求幫助和解決方案。
他們發現,大部分藍屏的電腦都有一個共同特征:運行的都是 Windows10 系統, 并且都安裝了中國電信旗下一款叫做 “天翼校園客戶端”的軟件,于是紛紛猜測:問題會不會就出在Win10系統和天翼校園客戶端上?
根據當事人小金(化名)在12月7日的描述,起初修電腦的技術人員、中國電信的維修師傅都提出了各種各樣的解決方案,然而最后卻發現:只有卸載天翼校園客戶端,查殺木馬并且清理注冊表鍵值才能徹底解決問題。于是學生們開始撥打中國電信的官方客服電話尋求官方的回應,然而直至7日下午5點,所有電信客服均拒絕承認電腦藍屏是由于天翼校園客戶端導致,這立即引起了眾多學生的強烈不滿。
這個天翼校園客戶端到底是什么?如果該客戶端帶木馬病毒,又將產生什么樣的后果?雷鋒網宅客頻道(公眾號:宅客頻道)通過一位當事人小蔣了解到,在小蔣所在的高校,連接中國電信寬帶之前必須先在電腦上安裝一個天翼校園客戶端才能登錄上網。
小蔣說:
這似乎是中國電信為了限制“一人一號”的措施,因為這樣就沒辦法用路由了,WiFi 熱點共享的方法也變得不好用了,周圍高校的電信寬帶基本上都是通過這種方式登錄上網。
起初,宅客頻道對此感到疑惑:如果問題真的是由于天翼校園客戶端被掛木馬,那么應該全國其他地區的高校也應該會受到同樣影響,但目前反應該情況的學生主要集中在江蘇地區的高校。隨后,宅客頻道對更多回帖反饋問題的人進行了線上約談,發現事實上包括安徽、湖南、江蘇、武漢等多個地區高校也或多或少地受到影響。
來自安徽大學的學生小輝(化名)告訴宅客頻道:
據我所知,受影響的至少有安徽大學、安農大、安建大以及武漢的武漢理工大學,其中安農大和武漢理工大是重災區,可能是因為供學生可選的網絡運營商比較少。
而來自湖南大學的學生小龍(化名)則向宅客頻道透露:
我們學校只提供了中國電信的網絡供學生使用,而天翼校園客戶端自去年10月份之后就沒有更新過,目前我們也不確定是否該客戶端被掛木馬。但在今日,該客戶端的安裝文件被替換過一次。
至此,問題的原因似乎都指向了天翼校園客戶端,那么它是否真的是導致問題發生的原因?
根據江蘇某高校的知乎網友提供的內容,在12月8日之前,所有中國電信客服都矢口否認問題原因是由于客戶端導致,然而在12月8日,天翼校園客戶端官網卻出現了一份關于“木馬病毒感染導致藍屏故障的處理方法”的公告。
【天翼校園客戶端官網公告】
同時,當天中國電信暫時放開了端口,免去天翼校園客戶端撥號認證,換成了網頁認證,學生們可以直接通過網頁的形式進行登錄上網,不需要借助天翼校園客戶端。然而,除了提供解決方案之外,中國電信并沒有就導致問題的原因做出任何的官方解釋。
12月9日,學生們發現該網頁認證已經失效,他們再次回到安裝天翼客戶端才能上網的情況。有學生猜測,在此期間中國電信對該客戶端進行了一次處理。
根據這位江蘇某高校知乎網友的描述,期間他曾嘗試撥打工信部電話進行投訴,卻被告知工信部只受理三大運營商的業務糾紛問題,此類問題不在他們的管轄范圍之內。隨后他接到了電信客服以及維修師傅的通知,告知電信方面已經解決了木馬造成的問題,天翼校園客戶端恢復正常使用。
然而就木馬的來源,電信客服始終閉口不談,而有負責維修的工作人員則表示:“這次問題是由于微軟在更新時夾帶木馬導致”,該網友表示對此答復非常無奈。
宅客頻道從一名當事人手中得到“問題客戶端”樣本后,請擁有多年惡意軟件查殺經驗的網絡專家,360反病毒小組負責人王亮進行了技術分析。
王亮表示:
根據初步分析我們發現,自11月26號開始,天翼校園客戶端通過升級通道向用戶計算機下發了一款名為“日歷時鐘”的軟件,文件名“abac101_abacab.exe”(程序判斷了文件名,使用其它文件名時行為不同),md5:27d68f74cf547ac31df68dc2faae93cc,帶有中國電信簽名,在用戶計算機中靜默安裝了這款軟件。安裝這款軟件之后不久,用戶計算機就出現“新黑狐”木馬。
根據分析數據,看只在11月26~11月28號存在這個問題,之后再沒出現。
對于用戶電腦中的木馬是否是由天翼校園客戶端將木馬帶入的,王亮回應:
根據當事人提供的樣本,目前只能確認天翼客戶端偷偷裝了這個“日歷時鐘”軟件,但還不能確認“新黑狐木馬”是否由這個“日歷時鐘”帶進來的,需要再花些時間細致分析一下它的云控代碼,以得到更多線索。
至宅客頻道發文時,中國電信依然沒有對木馬的來源進行官方正式的聲明,而許多受影響的學生依然在尋求一個合理的解釋。一位江蘇地區高校“積極投訴咨詢”的知乎網友表示,電信方面已經針對其個人提出補償即2年每個月1G省內流量,但這只是針對其個人提出的補償方案,其他受害者均無法享受,他正在繼續向客服提出申訴,希望能給其他受害者爭取一下補償,哪怕大家不在乎這點微不足道的補償。
而另一名湖南地區某高校學生向宅客頻道表示,自己已向國際經濟貿易仲裁委員會申請了仲裁,要求電信賠償自己因電腦藍屏所導致的損失200元,周圍有朋友認為他過于小題大做,而他告訴宅客頻道:
“ 200元人民幣的賠償本身已經不重要,因為仲裁受理花費已遠遠高于這個數額。”