据新华网消息，近日，金山毒霸安全实验室发出安全警报，中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的“天翼校园客户端”被植入后门病毒，该后门病毒接受黑客远程指令，利用中毒电脑刷广告流量和挖矿生产“门罗币”，让这些校园用户的电脑沦为他们牟取利益的“肉鸡”。中国电信方面表示正在核查。

“新华网”对于此事件的报道截图

门罗币，是一种模仿“比特币”出现的数字虚拟币，利用电脑硬件资源挖虚拟币一般被称为“挖矿”。目前，一枚比特币的价格已达4万元人民币，一枚门罗币的价格接近500元。因此受利益驱动，众多病毒黑产从业人员制作挖矿病毒广泛传播，让众多受害者电脑沦为不法分子的“矿工”。

据了解，“天翼校园客户端”是中国电信为校园学生提供的宽带接入和应用集成软件，可对中国电信天翼宽带WiFi、天翼宽带3G、天翼宽带1X以及有线宽带网络进行接入。需要注意的是，由于其用户群体庞大，所有在中国电信校园门户网站下载过“天翼校园客户端”的用户都有可能被感染。

“天翼校园客户端“安装包运行后，后门病毒即被植入电脑。该病毒会访问远程C&C服务器存放的广告配置文件，然后构造隐藏IE浏览器窗口执行暗刷流量，同时也会释放门罗币挖矿者进行挖矿。安装包整体逻辑如下图所示：

将安装包进行安装后，我们可以在安装目录中看到speedtest.dll文件，扮演“母体”的角色，主要是下载、释放文件并解密加载模块。最终完成刷广告流量和实现挖矿。

当解密后的广告刷量模块被执行后，它会创建一个隐藏的IE Frame控件，通过读取云端配置文件，后台模拟发送鼠标、键盘消息，用于操控窗口，同时“屏蔽” 音媒体设备接口函数，防止被用户发现。

据悉，该病毒下载的广告链接有400多个。由于广告页面被病毒隐藏，并没有在用户电脑端展示出来，广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、淘宝、IT168、风行网等等。

当病毒开始“挖矿”时，用户能观察到计算机CPU资源占用飙升，电脑性能变差，发热量上升，电脑风扇此时会高速运行，电脑噪音也会随之增加。

根该安全实验室监控发现，带有该后门病毒的安装包并不只有“天翼校园客户端“，进行排查之后，还发现签名为“中国电信股份有限公司”的一款日历程序，也包含该后门病毒。

而令人震惊的是，安全厂商们普遍认为大型互联网公司签名的程序是安全的，病毒也借此通过安全软件的“白名单”信任机制来躲避查杀。

但中国电信江苏分公司的官方程序是如何被植入病毒的呢？目前尚不得而知。

点击下方阅读原文，关注电脑报新媒体矩阵更多精彩

• 韩国官方认证，秋瓷炫的中国老公这回真的大势了
• 33岁才开始健身的中国妈妈，42岁蜕变成健身女王！
• 什么？区块链市值已超过中国移动？运营商到底该怎么玩？
• 中国医疗保健国际交流促进会特应性皮炎诊疗中心落户哈尔滨市儿童
• 国际乒联总决赛中国选手皆晋级 樊振东将战许昕
• 中国教育部承认的意大利正规高等院校全录，看看有没有你选的学校
• 麦麦提图尔孙·琼在2017年中国拳王赛中夺得“中国拳王金腰带”
• 看点｜专访美敦力全球CEO：在中国推进价值医疗 我们得更紧迫些
• 周一中国美院良渚校区边上要卖地啦 ！上限楼面价23999元/㎡
• 地理快讯|刘彦随研究员荣获发展中国家科学院（TWAS）科学奖!