电信天翼校园客户端中毒怎么回事 电信客户端让电脑变慢？

　　而通过对病毒进行溯源分析，金山毒霸安全实验室还发现带有该后门病毒的安装包并不只有“天翼校园客户端”，“网际快车”、“一字节恢复”，以及中国电信的一款农历日历（Chinese Calendar）等软件也都携带同样的病毒代码。

　　▲日历程序的数字签名

　　关于病毒如何植入的诸多猜测

　　一个省的电信运营竟然与挖矿黑产挂上了，究竟病毒是如何被植入的？

　　猎豹移动安全专家对于江苏电信天翼校园被植入病毒的事件，有两种猜测：

　　第一是内部工作人员可能违规，私自参与病毒黑色产业；

　　第二是内部生产环境可能已遭黑客入侵，潜在的风险巨大。黑客可以控制一个省的电信用户去挖矿，黑客也可以控制如此巨大规模的终端用户电脑去实现其他目的，比如“发布违法信息内容”，或利用肉鸡电脑发起网络攻击。

　　有微博网友爆料，天翼校园客户端可能是外包管理不严，有被合作方坑的可能性。

　　虽然目前尚未查清中国电信江苏分公司的官方程序是如何被植入病毒的，但对于普遍认为大型互联网公司签名程序是安全的安全厂商们，这波脸打的有点疼。

　　而据雷锋网(公众号：雷锋网)得到的最新消息，猎豹移动已在三省监测到天翼校园客户端沦陷，分别是江苏、广东、湖南。其他地方也有个例，但基本可以忽略。

　　而火绒安全团队也通过技术溯源发现，早在2015年12月，该病毒就已被病毒团伙植入到天翼客户端。通过排查发现，包括广东省肇庆市、中山市、珠海市、茂名市等21个市、208家高校均可能受到该病毒影响，下图为所有安装了该客户端的学校名单：

　　不过，不管是中招还是未中招的童靴，雷锋网编辑建议删除“天翼校园客户端”安装目录中的speedtest.dll文件，及时查杀病毒。还不放心的童靴，可以换个宽带来用了。

　　“挖矿”？最近太多了

　　实际上，最近“挖矿”的事儿有点多。

　　不久前百度网址安全中心的同学监测发现一些网站页面中被植入了恶意脚本，打开后会占用大量CPU资源。经过分析发现网站中被植入的脚本是在线挖矿脚本，通过浏览器访问这些站点时挖矿脚本便会在后台执行占用大量CPU，电脑因此会变慢或卡顿。

　　植入到页面中的挖矿脚本都是源自网站Coinhive（https://coinhive.com/），其提供了可植入到网站页面中的门罗币挖矿JavaScript API，只需植入到网站页面中用户访问时便可实现门罗币挖矿。

　　浏览器打开此页面后电脑明显变慢，查看电脑任务管理发现CPU使用率立即大幅上升，闲置不到36%。关闭页面后CPU利用率立即下降，闲置超过97%，被占用的大量CPU正是被用来挖矿。

　　网站黑客入侵篡改是常见的安全问题，但现在入侵网站篡改的内容已经扩散到挖矿恶意代码。2017年10月以来检出的挖矿站点数量呈现上涨趋势，越来越多的站点被发现植入了挖矿脚本，因为被黑而被动参与挖矿的站点也在增多，国内网页挖坑的市场规模十分庞大。

　　“本文转自雷锋网，如需转载请至雷锋网官网申请授权。”