天翼校園客戶端被植入病毒 中毒電腦被用來「挖礦」

一、概述

「天翼校園客戶端」是中國電信為校園學生提供的寬頻接入和應用集成軟體，可對中國電信天翼寬頻WiFi、天翼寬頻3G、天翼寬頻1X以及有線寬頻網路進行接入。近期，金山毒霸安全實驗室發現，從中國電信股份有限公司江蘇分公司網站下載的天翼校園校園客戶端存在暗刷流量，偷偷挖礦行為，讓校園用戶淪為他們牟取利益的「肉雞」。

"天翼校園客戶端"安裝包運行後，後門病毒即被植入電腦。該病毒會訪問遠程C&C伺服器存放的廣告配置文件，然後構造隱藏IE瀏覽器窗口執行暗刷流量，同時也會釋放門羅幣挖礦者進行挖礦。安裝包整體邏輯如下圖所示：

將安裝包進行安裝後，我們可以在安裝目錄中看到speedtest.dll，如下圖所示：

二、母體模塊分析

speedtest.dll扮演「母體」的角色，主要是下載、釋放文件並解密載入模塊。首先它會去訪問天翼寬頻伺服器做為開關，表示是否聯網成功，如果HTTP響應返回200則表示成功聯網，繼續執行接下來的釋放、下載、解密廣告刷量模塊和挖礦模塊，如果http響應返回值不是200，則什麼事也不做。

天翼寬頻伺服器伺服器：hxxp://http://interface.tykd.vnet.cn/QueryCityClient/QueryUserCity.ashx?BusCode=&Version=&Language=&DialupType=&DialupName=&Passport=

Speedtst.dll會創建兩個線程，線程一首先會在CSIDL_APPDATAMicrosoft目錄下生成名叫Smart.gif的文件(實則廣告刷量的PE文件），然後申請0x480大小的內存空間存儲shellcode代碼，在shellcode中解密Smart.gif並載入執行。

shellcode解密gif 還原成PE文件：

speedtest.dll線程二，會聯網去下一個名叫」adview.db」的文件(為上述描述中smart.gif(廣告刷量模塊)的更新版本，唯一不同的是新版本中攜帶了門羅幣挖礦模塊)，同樣的以shellcode的方式去解密並載入"adview.db"。當新版本的廣告刷量模塊被載入後，舊版本廣告刷量模塊則會被關閉。

l 新版廣告刷量模塊下載地址：hxxp://http://bmp.uvmama.com/adview.db

到此母體的工作已經結束。

三、廣告刷量模塊分析

當解密後的廣告刷量模塊被執行後，它會創建一個隱藏的IE Frame控制項，通過讀取雲端配置文件，後台模擬發送滑鼠、鍵盤消息，用於操控窗口，同時「屏蔽」 音媒體設備介面函數，防止被用戶發現。

1. 因為廣告中可能會存在視頻聲音，為不讓用戶發現，病毒會「屏蔽」音媒體設備,防止在刷廣告流量時發出聲音。

2.然後通過訪問hxxp://http://click.uvmama.com/smartmaster.php讀取配置文件然後進行解密，獲取廣告配置文件,該配置會定時更新，每次獲取到的廣告鏈接都不一樣。

廣告流量包含以下這些站點(約400個廣告鏈接):

hxxp://www.iizero.com

hxxp://http://123.hao245.com

hxxp://www.maogoule.com

hxxps://www.taobao.com

3.讀取解密後的配置文件，獲取操作模式，區域坐標，點擊坐標等相關信息。

圖：讀取配置文件

操作模式一共有25幾種，如下圖說明：

4.通過發送滑鼠消息進行點擊。

下圖為顯示窗口後的廣告刷量窗口：

註：默認是看不到這個窗口，通過hide標記彈出的。

四、挖礦模塊功能分析

通過 pdb信息得知，該挖礦模塊屬於門羅幣挖礦者。

挖礦伺服器IP地址：116.62.42.211 埠: 8080

當該模塊被載入運行後，CPU佔用率相對會高，與以往的挖礦病毒不同，該挖礦程序未直接在本地存儲礦池錢包等信息, 錢包信息存儲在伺服器。

下圖代碼是與服務端進行通信，將計算結果返回礦池：

挖礦病毒與服務端的通信數據包：

挖礦啟動輸出的日誌:

五、同源樣本挖掘

根據金山毒霸安全實驗室監控發現，帶有該後門病毒的安裝包並不只有"天翼校園客戶端"，進行排查之後，我們發現簽名為「中國電信股份有限公司」的一款日曆程序，也包含該後門病毒。

對speedtest.dll和日曆程序中的代碼片段對比，可見同源性代碼及數據，如下圖所示：

六、Whois溯源查詢

通過幾個域名地址，可以查詢到以下相關相信：

七、附錄

本機構賬號將持續關注和發布各類安全熱點事件，歡迎大家關注我們哦！

獵豹漁村安全局 - 知乎

想查看更多過往的報告？可以點擊下面哦

我們的知乎文章匯總：點擊查看

我們的微博：漁村安全的微博

我們的微信公眾號：漁村安全

推薦閱讀：