排查之后发现,签名为“中国电信股份有限公司”的一款农历日历(Chinese Calendar)同样存在该后门病毒。
以后带数字签名的也不是100%可信了
官方带毒最为致命
CCleaner , Xshell ……
1
CEBBCAT 2017-11-03 11:37:44 +08:00 via Android
我只发现后台刷流量,别的暂时没发现,后来就找装网小哥偷偷换成传统那种 PPPoE 了,百兆光纤,就是没有公网 IP,也不敢要
|
2
nazor 2017-11-03 11:53:54 +08:00
额,有没有什么可以参考的东西。只感觉内存占用有点过分。
|
3
AtlantisZ 2017-11-03 11:57:44 +08:00
是的,简直是病毒,很恶心
|
4
ss454534 2017-11-03 11:57:47 +08:00 via Android
我就是江苏天翼校园用户 早在 14 年大一的时候就发现客户端自己刷广告的行为 电脑什么软件都没开 就开个天翼上网 突然出现广告的声音 类似那种网页游戏 打怪除魔的那种
|
5
7654 OP @CEBBCAT #1
@nazor #2 @AtlantisZ #3 @ss454534 #4 http://news.sina.com.cn/c/2017-11-02/doc-ifynmnae1365441.shtml 暗地里刷广告流量+挖矿,现在多地的网站下载维护了 |
6
paul1729 2017-11-03 13:31:11 +08:00
广东电信的表示也下架了
垄断了赚学生钱,还用学生的电脑来赚钱,真的是黑到家了 印象中电信这个后门很早就存在了,15 年的时候电信客户端用着就很卡,经常崩溃 不过也没管那么多,因为那时候电信的客户端很容易破解,抓包一下就能自己做个客户端出来 16 年的时候电信的客户端升级了,算法全部换了,那段时间经常更新客户端升级算法,不升级都上不了网,再破解起来太麻烦了,同学就自己搞了个去广告去自动升级的版本,那时候就发现有个推送广告的 dll,不过没仔细研究,不知道原来是个后门,去掉那些垃圾 dll 以后客户端就很少挂掉了,也不会占多少资源 讲真觉得电信很恶心,这次事情大概是内部有人赚黑钱,但是很多学校都被电信垄断了,坐地起价,有些宿舍楼还严重超售,晚上速度完全不达标,以前还经常出现晚上人多客户端登陆不上的情况,服务差的一逼 |
7
ss454534 2017-11-03 13:40:20 +08:00 via Android
我有一个小应用可以一键登录天翼校园网 不用验证码 我现在已经卸载了天翼 要的话私信我
|
8
acess 2017-11-03 21:46:31 +08:00
以前天翼还搞过一波更大的呢:
https://www.leiphone.com/news/201612/APz7iLTuBS4NuGYZ.html https://www.zhihu.com/question/53371389 “新黑狐”是一种内核驱动木马,它触发了微软的 PatchGuard,导致不定时蓝屏循环。 |
9
acess 2017-11-03 22:01:24 +08:00
还有,本来就是数字签名≠安全……
带有效数字签名的木马下载器,这个就是例子: http://www.freebuf.com/articles/system/136978.html 360 写的,关于数字签名的文章: http://www.freebuf.com/articles/network/146274.html 还有白加黑、DLL 劫持什么的好像是 N 年以前的老手段了,不知道现在还有没有用。 再歪一下话题,这个是通过 DLL 劫持自启的例子: https://www.zhihu.com/question/56224551/answer/222330357 |
10
acess 2017-11-03 22:02:22 +08:00
反正……有数字签名的话,安全也确实多一层保障,但绝对的安全是不存在的……
|