如何看待“天翼校园客户端”被用来“挖矿”

感谢你的邀请

首先，“天翼校园客户端”被用来“挖矿”，这确实存在。既然发生，老铁建议大家检查内网安全，以排除黑客入侵或其他嫌疑。具体如下：

近日，金山毒霸安全实验室监测发现，中国电信(微博)江苏分公司校园门户网站提供下载的“天翼校园客户端”被植入后门病毒，该后门病毒接受黑客远程指令，利用中毒电脑刷广告流量和挖矿生产“门罗币”。

带毒客户端有中国电信数字签名

“天翼校园客户端”安装包运行后，后门病毒即被植入电脑。该病毒会访问远程C&C服务器存放的广告配置文件，然后构造隐藏IE浏览器窗口执行暗刷流量，同时也会释放门罗币挖矿者病毒进行挖矿。安装包整体逻辑如下图所示：

天翼校园客户端后门病毒的工作流程

天翼校园客户端安装后，安装目录中会释放speedtest.dll文件，speedtest.dll扮演病毒“母体”角色。执行下载、释放其他病毒模块，最终完成刷广告流量和实现挖矿。

其实是被病毒控制用来挖矿，现在金山毒霸安全实验室对病毒进行溯源分析，发现带有该后门病毒的安装包并不只有“天翼校园客户端”，排查之后，还发现签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)，同样存在该后门病毒。

　　金山毒霸已升级查杀该病毒，现在建议江苏省电信校园客户删除“天翼校园客户端”安装目录中的speedtest.dll文件，也呼吁中国电信江苏省分公司尽快检查所涉软件，替换网上存在的带毒版本。同时，建议检查内网安全，以排除黑客入侵或其他嫌疑，如果被黑客或不良目的人士利用，随时可能制造大范围的悲剧性后果。

中国电信(微博)江苏分公司校园门户网站（pre.f-young.cn）提供下载的“天翼校园客户端”被植入后门病毒，该后门病毒接受黑客远程指令，利用中毒电脑刷广告流量和挖矿生产“门罗币”。

这是2017年的新闻了，好像还有金山毒霸发现的。用中国电信的客户端挖矿，能说明很多问题。

电信客户端用户足够大

天翼校园客户端作为最大电信运营商之一，不缺流量，不缺用户。恰恰是大流量多用户的客户端才能被黑客看上，并加以利用，黑客破解一个客户端并不容易，再部署成能被自己利用的，难道更高。

门罗币有利可图

花时间花精力甚至犯罪去干破解别人软件这事，付出的代价必然不小。愿意付出这种代价的肯定不是吃饱了撑的，必然有利可图。而此次事件的主角是门罗币，在币圈排名27名。

中国电信校园卡申请入口

申请入口：登录当地电信网上营业厅。

电信校园卡的优惠：1、本地接听免费，学校内本地主叫本地/长途0.10元/分钟，学校外本地主叫本地/长途0.20元/分钟，学校限中国电信北京公司高校联盟内的院校。

具体院校列表参见中国电信北京公司网上营业厅，随着中国电信北京公司与北京各大高校合作的深入，高校联盟内的院校将会进一步增加；