天翼,有毒?“校园客户端挂马事件”雷锋网独家解析-阿里云开发者社区

开发者社区> 雷锋网> 正文

天翼,有毒?“校园客户端挂马事件”雷锋网独家解析

简介:

12月7日,江苏某高校的大四学生小金(化名)正在准备期末论文,忽然电脑出现蓝屏并自动重启,起初他并没有当一回事,然而一回头却发现舍友的电脑在十分钟之内也重启了三四次,这引起了他的注意。

天翼,有毒?校园客户端挂马事件雷锋网独家解析

【某受影响当事人电脑截图】

小金想通过贴吧发帖来求助网友,却惊奇地发现:贴吧一页下来基本全是机器蓝屏的帖子,并且周围受影响的同学也越来越多,小金这才意识到:此事并不简单!

近日,知乎网出现了一个名为「如何评价12月6日天翼校园客户端自带木马病毒导致全国大面积win10蓝屏的问题?」的讨论,而以上内容便是宅客频道(letshome)根据当事人描述来还原的场景。

电信宽带客户端带木马?客服否认

根据雷锋网宅客频道(公众号:宅客频道)调查,南京市是此次事件的“重灾区”之一。从12月7日开始,南京邮电大学、南京工程学院、南京晓庄学院等高校就陆续有学生表示自己“中招”,受影响的学生们自发组建了“蓝屏受害者联联谊会”之类的QQ群,开始向外界寻求帮助和解决方案。

他们发现,大部分蓝屏的电脑都有一个共同特征:运行的都是 Windows10 系统, 并且都安装了中国电信旗下一款叫做 “天翼校园客户端的软件,于是纷纷猜测:问题会不会就出在Win10系统和天翼校园客户端上?

根据当事人小金(化名)在12月7日的描述,起初修电脑的技术人员、中国电信的维修师傅都提出了各种各样的解决方案,然而最后却发现:只有卸载天翼校园客户端,查杀木马并且清理注册表键值才能彻底解决问题。于是学生们开始拨打中国电信的官方客服电话寻求官方的回应,然而直至7日下午5点,所有电信客服均拒绝承认电脑蓝屏是由于天翼校园客户端导致,这立即引起了众多学生的强烈不满。

这个天翼校园客户端到底是什么?如果该客户端带木马病毒,又将产生什么样的后果?雷锋网(公众号:雷锋网)宅客频道(公众号:宅客频道)通过一位当事人小蒋了解到,在小蒋所在的高校,连接中国电信宽带之前必须先在电脑上安装一个天翼校园客户端才能登录上网。

小蒋说:

这似乎是中国电信为了限制“一人一号”的措施,因为这样就没办法用路由了,WiFi 热点共享的方法也变得不好用了,周围高校的电信宽带基本上都是通过这种方式登录上网。

起初,宅客频道对此感到疑惑:如果问题真的是由于天翼校园客户端被挂木马,那么应该全国其他地区的高校也应该会受到同样影响,但目前反应该情况的学生主要集中在江苏地区的高校。随后,宅客频道对更多回帖反馈问题的人进行了线上约谈,发现事实上包括安徽、湖南、江苏、武汉等多个地区高校也或多或少地受到影响。

来自安徽大学的学生小辉(化名)告诉宅客频道:

据我所知,受影响的至少有安徽大学、安农大、安建大以及武汉的武汉理工大学,其中安农大和武汉理工大是重灾区,可能是因为供学生可选的网络运营商比较少。

而来自湖南大学的学生小龙(化名)则向宅客频道透露:

我们学校只提供了中国电信的网络供学生使用,而天翼校园客户端自去年10月份之后就没有更新过,目前我们也不确定是否该客户端被挂木马。但在今日,该客户端的安装文件被替换过一次。

至此,问题的原因似乎都指向了天翼校园客户端,那么它是否真的是导致问题发生的原因?

相关部门如何回应

根据江苏某高校的知乎网友提供的内容,在12月8日之前,所有中国电信客服都矢口否认问题原因是由于客户端导致,然而在12月8日,天翼校园客户端官网却出现了一份关于“木马病毒感染导致蓝屏故障的处理方法”的公告。

天翼,有毒?校园客户端挂马事件雷锋网独家解析

【天翼校园客户端官网公告】

同时,当天中国电信暂时放开了端口,免去天翼校园客户端拨号认证,换成了网页认证,学生们可以直接通过网页的形式进行登录上网,不需要借助天翼校园客户端。然而,除了提供解决方案之外,中国电信并没有就导致问题的原因做出任何的官方解释。

12月9日,学生们发现该网页认证已经失效,他们再次回到安装天翼客户端才能上网的情况。有学生猜测,在此期间中国电信对该客户端进行了一次处理。

天翼,有毒?校园客户端挂马事件雷锋网独家解析

根据这位江苏某高校知乎网友的描述,期间他曾尝试拨打工信部电话进行投诉,却被告知工信部只受理三大运营商的业务纠纷问题,此类问题不在他们的管辖范围之内。随后他接到了电信客服以及维修师傅的通知,告知电信方面已经解决了木马造成的问题,天翼校园客户端恢复正常使用。

然而就木马的来源,电信客服始终闭口不谈,而有负责维修的工作人员则表示:“这次问题是由于微软在更新时夹带木马导致”,该网友表示对此答复非常无奈。

专家分析木马可能来源

宅客频道从一名当事人手中得到“问题客户端”样本后,请拥有多年恶意软件查杀经验的网络专家,360反病毒小组负责人王亮进行了技术分析。

王亮表示:

根据初步分析我们发现,自11月26号开始,天翼校园客户端通过升级通道向用户计算机下发了一款名为“日历时钟”的软件,文件名“abac101_abacab.exe”(程序判断了文件名,使用其它文件名时行为不同),md5:27d68f74cf547ac31df68dc2faae93cc,带有中国电信签名,在用户计算机中静默安装了这款软件。安装这款软件之后不久,用户计算机就出现“新黑狐”木马。


根据分析数据,看只在11月26~11月28号存在这个问题,之后再没出现。

对于用户电脑中的木马是否是由天翼校园客户端将木马带入的,王亮回应:

根据当事人提供的样本,目前只能确认天翼客户端偷偷装了这个“日历时钟”软件,但还不能确认“新黑狐木马”是否由这个“日历时钟”带进来的,需要再花些时间细致分析一下它的云控代码,以得到更多线索。

事件后续

至宅客频道发文时,中国电信依然没有对木马的来源进行官方正式的声明,而许多受影响的学生依然在寻求一个合理的解释。一位江苏地区高校“积极投诉咨询”的知乎网友表示,电信方面已经针对其个人提出补偿即2年每个月1G省内流量,但这只是针对其个人提出的补偿方案,其他受害者均无法享受,他正在继续向客服提出申诉,希望能给其他受害者争取一下补偿,哪怕大家不在乎这点微不足道的补偿。

而另一名湖南地区某高校学生向宅客频道表示,自己已向国际经济贸易仲裁委员会申请了仲裁,要求电信赔偿自己因电脑蓝屏所导致的损失200元,周围有朋友认为他过于小题大做,而他告诉宅客频道:

“ 200元人民币的赔偿本身已经不重要,因为仲裁受理花费已远远高于这个数额。”

天翼,有毒?校园客户端挂马事件雷锋网独家解析

   
   
  
  本文作者:谢幺

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

秉承“关注智能与未来”的宗旨,持续对全球前沿技术趋势与产品动态进行深入调研与解读。

官网链接