虽然虚拟货币受到各种限制约束,但其中蕴含的财富依然让太多人趋之若鹜,甚至做出一些不齿之事,尤其是散播病毒,让中毒者的电脑为自己挖矿。近日,中国电信江苏分公司校园门户网站(pre.f-young.cn)提供下载的 “天翼校园客户端” 也被植入后门病毒,可接受黑客远程指令,利用中毒电脑刷广告流量,挖矿生产 “门罗币”。
安装包运行后,后门病毒即被植入电脑,随即访问远程 C&C 服务器存放的广告配置文件,然后构造隐藏 IE 浏览器窗口执行暗刷流量,同时也会释放门罗币挖矿者病毒进行挖矿。安装包整体逻辑如下图所示:
客户端安装后,安装目录中会释放 speedtest.dll 文件,扮演病毒“母体”角色,执行下载、释放其他病毒模块,最终完成刷广告流量和实现挖矿。
解密后的广告刷量模块被执行后,它会创建一个隐藏的 IE 窗口,读取云端指令,后台模拟用户操作鼠标、键盘点击广告,同时“屏蔽”声卡播放广告页面中的声音,防止刷广告流量时用户只闻其声不见其形而感到奇怪。该病毒下载的广告链接有 400 多个。由于广告页面被病毒隐藏,并没有在用户电脑端展示出来,广告主白白增加了流量成本。受该病毒点击欺诈影响的广告主不乏腾讯、百度、搜狗、 *** 、IT168、风行网等等。
通过分析病毒的挖矿模块发现,天翼校园客户端挖的是“门罗币”。这是一种模仿“比特币”出现的数字虚拟币,一枚价格接近 500 元。当病毒开始“挖矿”时,用户能观察到计算机 CPU 资源占用飙升,电脑性能变差,发热量上升,电脑风扇此时会高速运行,电脑噪音也会随之增加。
排查之后发现,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。分析结果令人震惊,安全厂商们普遍认为大型互联网公司签名的程序是安全的,但中国电信江苏分公司的官方程序是如何被植入病毒,目前尚不得而知。
稿源:cnBeta、快科技,封面源自 *** ;
Microsoft Defender for Endpoint 今天出现了非常严重的误报事件,竟然将自家的 Office 应用程序更新 OfficeSvcMgr.exe 检测为勒索软件。今天早些时候,系统管理员在更新 Microsoft Defender for Endpoint 时注意到了恶意程...
因担心俄乌冲突引发的近期针对欧洲卫星网络发起的攻击可能很快蔓延到美国本土,政府机构已经向卫星通信网络运营商发出了“潜在威胁”预警。在美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)本周联合发布的一份公告中,其敦促卫星通讯(SATCOM)网络提供商和基础设施组织加强安全防御。若被入侵,或...
根据The Hacker News的报道,有三个高影响的统一可扩展固件接口(UEFI)安全漏洞被公布,即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972,已被发现它们会影响联想的各种设备,如联想Flex、IdeaPads和Yoga笔记本电脑。 最初,CVE-202...
名为Gary Bowser的Team-Xecuter黑客组织成员已经承认了与销售硬件和软件有关的指控,这些硬件和软件允许人们在各种游戏机上玩未经授权或盗版的游戏,包括任天堂的几种游戏机。此前,美国任天堂公司在今年早些时候对该黑客发起了诉讼。 被司法部描述为世界上最臭名昭著的电子游戏盗版集团之一的T...
根据 NK News 获得的日志文件和域名记录显示,在上周五和上周日朝鲜的关键服务器无法访问,从而在互联网上消失了数个小时。网络安全研究员 Junade Ali 说,连接失败的模式表明,朝鲜的 IT 基础设施可能受到了分布式拒绝服务(DDOS)攻击。 图片来自于 Pixabay Ali 表示:“断...
据外媒报道,上周,约28万名以色列学生的个人信息在针对AcadeME公司的网络攻击中被泄露。据Jerusalem Post报道,Think Safe Cyber Facebook组织的May Brooks-Kempler估计,约有28万名在校或在校学生的个人信息被盗。 AcadeME是以色列一个全国...