V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
7654
V2EX  ›  Bitcoin

多地天翼校园客户端带毒+挖矿

  •  
  •   7654 · 2017-11-03 10:32:22 +08:00 · 1906 次点击
    这是一个创建于 2573 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天有帖子问 https://www.v2ex.com/t/402820 我觉的这是最好的回答
    胆子真大啊,校园这个封闭的市场太能搞事了
    第 1 条附言  ·  2017-11-03 13:54:54 +08:00

    排查之后发现,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。
    以后带数字签名的也不是100%可信了
    官方带毒最为致命
    CCleaner , Xshell ……

    10 条回复    2017-11-03 22:02:22 +08:00
    CEBBCAT
        1
    CEBBCAT  
       2017-11-03 11:37:44 +08:00 via Android
    我只发现后台刷流量,别的暂时没发现,后来就找装网小哥偷偷换成传统那种 PPPoE 了,百兆光纤,就是没有公网 IP,也不敢要
    nazor
        2
    nazor  
       2017-11-03 11:53:54 +08:00
    额,有没有什么可以参考的东西。只感觉内存占用有点过分。
    AtlantisZ
        3
    AtlantisZ  
       2017-11-03 11:57:44 +08:00
    是的,简直是病毒,很恶心
    ss454534
        4
    ss454534  
       2017-11-03 11:57:47 +08:00 via Android
    我就是江苏天翼校园用户 早在 14 年大一的时候就发现客户端自己刷广告的行为 电脑什么软件都没开 就开个天翼上网 突然出现广告的声音 类似那种网页游戏 打怪除魔的那种
    7654
        5
    7654  
    OP
       2017-11-03 13:10:30 +08:00
    @CEBBCAT #1
    @nazor #2
    @AtlantisZ #3
    @ss454534 #4
    http://news.sina.com.cn/c/2017-11-02/doc-ifynmnae1365441.shtml
    暗地里刷广告流量+挖矿,现在多地的网站下载维护了
    paul1729
        6
    paul1729  
       2017-11-03 13:31:11 +08:00
    广东电信的表示也下架了
    垄断了赚学生钱,还用学生的电脑来赚钱,真的是黑到家了
    印象中电信这个后门很早就存在了,15 年的时候电信客户端用着就很卡,经常崩溃
    不过也没管那么多,因为那时候电信的客户端很容易破解,抓包一下就能自己做个客户端出来
    16 年的时候电信的客户端升级了,算法全部换了,那段时间经常更新客户端升级算法,不升级都上不了网,再破解起来太麻烦了,同学就自己搞了个去广告去自动升级的版本,那时候就发现有个推送广告的 dll,不过没仔细研究,不知道原来是个后门,去掉那些垃圾 dll 以后客户端就很少挂掉了,也不会占多少资源
    讲真觉得电信很恶心,这次事情大概是内部有人赚黑钱,但是很多学校都被电信垄断了,坐地起价,有些宿舍楼还严重超售,晚上速度完全不达标,以前还经常出现晚上人多客户端登陆不上的情况,服务差的一逼
    ss454534
        7
    ss454534  
       2017-11-03 13:40:20 +08:00 via Android
    我有一个小应用可以一键登录天翼校园网 不用验证码 我现在已经卸载了天翼 要的话私信我
    acess
        8
    acess  
       2017-11-03 21:46:31 +08:00
    以前天翼还搞过一波更大的呢:
    https://www.leiphone.com/news/201612/APz7iLTuBS4NuGYZ.html
    https://www.zhihu.com/question/53371389
    “新黑狐”是一种内核驱动木马,它触发了微软的 PatchGuard,导致不定时蓝屏循环。
    acess
        9
    acess  
       2017-11-03 22:01:24 +08:00
    还有,本来就是数字签名≠安全……

    带有效数字签名的木马下载器,这个就是例子:
    http://www.freebuf.com/articles/system/136978.html
    360 写的,关于数字签名的文章:
    http://www.freebuf.com/articles/network/146274.html


    还有白加黑、DLL 劫持什么的好像是 N 年以前的老手段了,不知道现在还有没有用。
    再歪一下话题,这个是通过 DLL 劫持自启的例子:
    https://www.zhihu.com/question/56224551/answer/222330357
    acess
        10
    acess  
       2017-11-03 22:02:22 +08:00
    反正……有数字签名的话,安全也确实多一层保障,但绝对的安全是不存在的……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:30 · PVG 22:30 · LAX 06:30 · JFK 09:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.