Tianyi kampüsü müşterisi "zehirlendi", Jiangsu, Guangdong ve Hunan en çok etkilenen bölgeler oldu
Üniversite kampüsüne ilk girdiğinizde cep telefonu kartlarınızı coşkuyla tanıtan son sınıf öğrencileri hatırlıyor musunuz?
"Liseli kız, kart başvurusu yapıyor musunuz? Mobil, bir kereye mahsus 500 arama ücretine bir cep telefonu gönderiyor ve ayrıca geniş bant sağlıyor."
"Kardeşim, şu pakete bak. Aylık 58 aboneliğe sahip, 3G verisi istendiğinde kullanılabiliyor ve 300 dakikalık yurt içi görüşme var."
...
Yeni öğrencileri kendi cep telefonu kartlarını kullanmaya çekmek için, büyük telekomünikasyon şirketleri, yıllık geniş bant hizmetlerinin sağlanması dahil olmak üzere çeşitli tercihli faaliyetler sunmaktadır. Öğrencilerin yalnızca bir mobil iletişim istemcisi indirmeleri ve internete giriş yapmak için cep telefonu numaralarını ve şifrelerini girmeleri gerekir.
Son zamanlarda, birden fazla güvenlik laboratuvarı tarafından yapılan incelemelerde, China Telecom kampüs portalı [zsteduapp.10000.gd.cn] tarafından indirilmek üzere sağlanan "Tianyi Kampüs İstemcisi" nin, herhangi bir zamanda uzaktan komutları alabilen arka kapı virüsü "Arka Kapı / Modloader" taşıdığı tespit edildi. , Reklam trafiğini ve "madenciliği" ("Monero madeni paralarının" üretimi) taramak için virüslü bilgisayarları kullanmak, bu kampüs kullanıcılarının bilgisayarlarını kârları için "piliçlere" dönüştürmek.
Zehirlenmiş müşterinin dijital imzası
Bilgisayar yavaşladı çünkü ...
Leifeng.com'a göre, "Tianyi Kampüs İstemcisi" kurulum paketi çalıştıktan sonra, arka kapı virüsü bilgisayara yerleştiriliyor. Virüs, uzak CC sunucusunda depolanan reklam yapılandırma dosyasına erişecek ve ardından gizli trafik taraması yapmak için gizli bir IE tarayıcı penceresi oluşturacak ve aynı zamanda madencilik için Monero madenci virüsünü de serbest bırakacaktır.
Tianyi kampüsü istemcisi arka kapı virüsünün iş akışı
Tianyi kampüs istemcisi yüklendikten sonra, speedtest.dll dosyası kurulum dizininde yayınlanacak ve speedtest.dll, virüs "ana" rolünü oynayacak. İndirmeleri yürütün, diğer virüs modüllerini serbest bırakın ve son olarak reklam trafiğini tamamlayın ve madencilik gerçekleştirin.
"Speedtest.dll" virüs ana dosyasının işlevi
Şifresi çözülen reklam kaydırma modülü çalıştırıldıktan sonra, gizli bir IE penceresi oluşturacak, bulut komutlarını okuyacak ve arka planda kullanıcının fare işlemini ve klavye tıklamasını simüle edecek ve aynı zamanda reklamın kaydırılmasını önlemek için ses kartının reklam sayfasındaki sesi oynatmasını "engelleyecek" Trafik aktığında, kullanıcı sadece sesi duyar ama görmez ki bu gariptir.
İzleme sonucunda virüs tarafından 400'e yakın reklam linkinin indirildiği tespit edildi.Reklam sayfası virüs tarafından gizlendiğinden ve kullanıcının bilgisayarında görüntülenmediğinden, reklam veren trafik maliyetini boşuna artırdı. Virüs tıklama sahtekarlığından etkilenen birçok reklamveren, Tencent, Baidu, Sogou, Taobao, IT168, Fengxing.com vb.
Mühendisler, çeşitli reklamverenlerin babaları üzerindeki reklam trafiğini incelemeye ek olarak, virüsün madencilik modülünü analiz ettiler ve Tianyi kampüsü istemcisinin "Monero" madenciliği yaptığını buldular.
Monero, "Bitcoin" görünümünü taklit eden dijital bir sanal para birimidir. Sanal para madenciliği yapmak için bilgisayar donanım kaynaklarının kullanımına genellikle "madencilik" denir. Şu anda, bir Bitcoin'in fiyatı 40.000 yuan'a ulaştı ve bir Monero'nun fiyatı 500 yuan'a yakın.
Virüs "madencilik" yapmaya başladığında, kullanıcılar bilgisayarın CPU kaynak kullanımının arttığını, bilgisayar performansının bozulduğunu ve ısı üretiminin arttığını görebilirler. Bilgisayar fanı yüksek hızda çalışacak ve bilgisayar gürültüsü buna göre artacaktır.
Virüs madenciliğe başladığında bilgisayarın CPU'su neredeyse doluydu
Bu nedenle, bir çocuğun önyüklemesi bilgisayarının gürültüsünün arttığını, ısınmaya devam ettiğini ve sık sık donduğunu tespit ederse, bilgisayarı değiştirme zamanı olmayabilir ve bir virüs de olabilir.
Ve virüsün izlenebilirlik analizi yoluyla, Kingsoft Internet Security Lab ayrıca Bu arka kapı virüsüyle birlikte kurulum paketi sadece "Tianyi Kampüs İstemcisi", "İnternet Ekspresi", "Bir Bayt Kurtarma" değil ve Çin Telekom'un Çin Takvimi (Çin Takvimi) de aynı virüsü taşır. Kod.
Takvim programının dijital imzası
Virüsün nasıl implante edildiği hakkında birçok spekülasyon
Bir eyaletteki telekomünikasyon operasyonları aslında siyah ürünlerin madenciliği ile bağlantılı. Virüs nasıl yerleştirildi?
Cheetah Mobile güvenlik uzmanları, Jiangsu Telecom'un Tianyi kampüsünde virüs implantasyonu hakkında iki spekülasyona sahipler:
Birincisi, dahili personelin düzenlemeleri ihlal edebilmesi ve siyah virüs endüstrisine özel olarak katılabilmesidir;
İkincisi, dahili üretim ortamının saldırıya uğramış olabileceği ve potansiyel risklerin çok büyük olmasıdır. Bilgisayar korsanları, bir eyaletteki telekomünikasyon kullanıcılarını madencilik için kontrol edebilir ve bilgisayar korsanları, "yasa dışı bilgi içeriği yayınlama" veya siber saldırılar başlatmak için broiler bilgisayarları kullanma gibi başka amaçlara ulaşmak için bu kadar büyük bir son kullanıcı bilgisayarını da kontrol edebilir.
Bazı Weibo netizenleri haberi verdi, Tianyi kampüs müşterisi dış kaynak kullanımı olabilir yönetimi katı değildir, ortak tarafından oyalanma olasılığı vardır.
China Telecom'un Jiangsu şubesinin resmi programlarına virüslerin nasıl yerleştirildiği kesinleşmemiş olsa da, genellikle büyük internet şirketlerinin imza programlarının güvenli olduğuna inanan güvenlik satıcıları için biraz acı verici.
Leifeng.com'dan gelen son haberlere göre Cheetah Mobile, Jiangsu, Guangdong ve Hunan olmak üzere üç ilde Tianyi kampüsü müşterilerinin düşüşünü tespit etti. Başka yerlerde de vakalar var, ancak temelde göz ardı edilebilirler.
Tinder güvenlik ekibi ayrıca teknik izlenebilirlik sayesinde, Aralık 2015 gibi erken bir tarihte virüsün Tianyi istemcisine virüs grubu tarafından yerleştirildiğini keşfetti. Araştırma sonucunda, Guangdong Eyaletindeki Zhaoqing Şehri, Zhongshan Şehri, Zhuhai Şehri ve Maoming Şehri de dahil olmak üzere 21 şehirde 208 üniversite ve kolejin virüsten etkilenebileceği bulundu.Aşağıdaki resim, müşteriyi kuran tüm okulların listesini göstermektedir:
Bununla birlikte, bir çocuk önyüklemesi veya işe alınmamış bir erkek olup olmadığına bakılmaksızın, Leifeng.com editörü, virüsü zamanında kontrol etmek ve öldürmek için "Tianyi Kampüs İstemcisi" kurulum dizinindeki speedtest.dll dosyasını silmenizi önerir. Hala endişe verici olan çocuk botları geniş bant olarak değiştirilebilir.
Madencilik mi? Son zamanlarda çok fazla
Aslında, son zamanlarda çok fazla "madencilik" yapıldı.
Çok uzun zaman önce değil Baidu Web Sitesi Güvenlik Merkezi sınıf arkadaşları, bazı web sitesi sayfalarına kötü amaçlı komut dosyalarının yerleştirildiğini ve bunun açıldıktan sonra çok fazla CPU kaynağı tükettiğini keşfettiler. Analizden sonra, web sitesine yerleştirilen betiklerin çevrimiçi madencilik betikleri olduğu ortaya çıktı.Bu siteleri bir tarayıcı aracılığıyla ziyaret ederken, madencilik betikleri arka planda çalışacak ve çok fazla CPU kullanacak, bu nedenle bilgisayar yavaşlayacak veya donacaktır.
Sayfaya yerleştirilen madencilik komut dosyaları, web sitesi sayfasına yerleştirilebilen ve yalnızca içine yerleştirilmesi gereken Monero madencilik JavaScript API'sini sağlayan Coinhive (https://coinhive.com/) web sitesinden türetilmiştir. Monero madenciliği, kullanıcı web sitesi sayfasını ziyaret ettiğinde gerçekleştirilebilir.
Tarayıcı bu sayfayı açtıktan sonra, bilgisayar önemli ölçüde yavaşlar Bilgisayar görev yönetimini kontrol etmek, CPU kullanımının keskin bir şekilde arttığını ve boşta kalma oranının% 36'dan az olduğunu gösterir. CPU kullanım oranı, sayfayı kapattıktan hemen sonra düşer ve% 97'den fazla boşta kalır ve madencilik için büyük miktarda CPU kullanılır.
Web sitelerinin hacklenmesi ve tahrif edilmesi yaygın bir güvenlik sorunudur, ancak artık saldırıya uğramış web sitelerinin tahrif edilmiş içeriği kötü amaçlı kod madenciliğine yayılmıştır. Ekim 2017'den bu yana tespit edilen madencilik sitelerinin sayısı yükseliş eğilimi gösterdi. Gittikçe daha fazla sitenin gömülü madencilik betiklerine sahip olduğu bulundu.Etkin olarak madenciliğe katılan sitelerin sayısı da korsanlık nedeniyle artıyor. Pazar büyüklüğü çok büyük.
