上一篇:全讯网 goodpeixun.com 可靠吗? 下一篇:没有了

如何看待12月6日天翼校园客户端自带木马病毒导致全国大面积win10

来源:未知 发布于 2016-12-14  浏览 次  
好吧。没有人邀请我,但我还是要来答这道题。
为什么?当然是因为我也遇到了。
坐标南京邮电大学仙林校区,宿舍有宽带接口,每人一个。
本校的宽带比较有趣,是校园网和天翼宽带并网(一个宽带接口同时有两个网可选)。校园网每小时0.3元,天翼宽带价格忘了,20M似乎是每月42。除此之外校内有Chinanet、CMCC以及校园网njupt_m等wifi信号,基本做到全校覆盖。计费标准各不相同就是了。
所以说和这两天接触到的不少外校以及外省同学相比我算是比较幸运,毕竟还有得选。
那么说说这个木马的事情吧。
在我这里,事情开始于2016年12月6日上午。单周星期二啊,很爽,上午只有一节大课,然后下课很自然地回寝学(kuai)习(huo)啊。
因为开学时办电信手机卡时套餐送了宽带,所以很自然地插上网线,打开客户端,扫码登陆。
(至于为什么要办电信手机卡,那就是另一个故事了,毕竟先前的手机号从08年用到了现在还没扔掉)
那么接下来就是比较神奇的事情了。当我正在ow的海洋中畅游顺便思考怎样搞定快到deadline的心理论文时,
boom。
当然不是真的炸了,“只是”一次重启
那我肯定很不爽啊,正在疯狂输出的时候突然被ban掉谁都会很不爽。“垃圾win10竟然什么都不说就来个更新。”这是我当时的想法,现在想起来很容易发现些不太对的地方:

系统更新重启怎么可能直接显示“正在重新启动”而不告诉你自己在准备更新呢?
更新完之后为什么在开始菜单出现了个叫“日历时钟”的东西呢?

这个我们稍后再说。
然而不爽完了还是该干什么干什么啊,毕竟用了windows微软就是爸爸。
那么好。就在我等待重启完成,重新打开ow,花了半个多小时激发自己写作灵感时,
BOOM。
为什么这个boom要用大写?因为这次它蓝屏了。
就是这样。图源是我自己,电脑后面那是我本人种了一个月快死光了的大叶罗勒。
这我就很气啊,重启就算了,重启之后多了奇怪的东西就算了,竟然还来蓝屏。本人使用计算机的习惯一向是很好的,虽然只靠windows defender但能够完美避开各种来路不明的骚东西。
然而蓝了又有什么办法,开机继续嗨。
结果过了没半小时:可以的。竟然黄了。(当然这个本质上还是一个多彩的蓝屏)
这时候就没有心情再玩ow了,万一意外退出翻车被队友怼怎么办是不是。
然后上qq看了一眼,顺便在本校的一个笔记本交流群扯了两句,发现竟然还有和我一样惨遇到重复蓝屏的。这是12月6日上午的事情。

当天晚自习没去,毕竟要写论文。呆在宿舍思考电脑到底怎么回事,然后顺便上贴吧看看能不能挖出点什么。
这一看不得了,win10贴吧已经炸了,满屏都是有关win10疯狂蓝屏的帖子。
更神奇的是所有出问题的机器都装了天翼校园客户端。
这就很滑稽是不是。
此时在老乡群里也有人反映相同的问题了:
那么这时候也有学长提到可能是天翼客户端的问题了。
贴吧此时有人提出可以进安全模式卸载天翼客户端和日历时钟再重新安装客户端,尝试解决。
在进行这步时注意到一个很有趣的现象:
“日历时钟”这个应用无法正常运行;直接点击需要管理员权限运行,发行者为“温州市人家信息科技有限公司”,其卸载程序发行者为“中国电信股份有限公司”。且正常情况下无法卸载,必须进入安全模式卸载。
然而前面这家奇怪的公司似乎只有一个空壳:
网站都不是自己做的。

卸了这两样东西之后,很遗憾,就在我写论文的时候,又蓝屏了,两次。
还好设置了每分钟自动保存,否则我要爆炸了。
写完论文之后这一天就过去了。
到了星期三,也就是2016年12月7日,继续寻找解决方案。
加入了一个由win10·天翼蓝屏受害者组建的群,共同寻找解决方案。
贴吧有人提到此次事件由木马造成,第一次重启时木马在“日历时钟”的外壳下进入,导致持续的蓝屏。按照所给方式用pchunter查看c:\windows\system32\drivers目录,发现两个分别名为dump1.tmpdump_stexstor.sys(该.sys文件下划线后文件名随机,后有群友指出是系统内某个驱动的名称)的文件。常规方式删除,重启后文件重新出现,蓝屏未解决。命令提示符安全模式下用del命令删除,进入系统后用某数字急救箱扫描全盘后删除成功。
写下这句话时是201612081353,电脑到现在暂时还是正常的。

讲完故事,现在开始提问题吧:
1、根据了解到的受影响者陈述,为什么首次重启(被安装日历时钟)时能够做到毫无征兆、没有提示直接重启?如果说这和每次运行天翼客户端时弹出的UAC弹窗许可有关,那么这样的许可下该软件是否有这样的权限对系统做出这样的更改?
2、“日历时钟”是怎样被捆入天翼客户端的?为什么先前能够正常使用客户端却在最近几天大面积出现此问题?
3、如果说导致问题的确实是木马,那么木马是如何被插入客户端的?
4、
图源金秋 - 知乎
如此图所示,电信给出了相应的“解决方案”(当然先前还给出了比较简单粗暴的直接用空文件占用c:\program files(x86)目录下“日历时钟”文件夹的方案,个人未验证可行性)。那么该方案的第四步是否等于承认了此次蓝屏事件起源于客户端带入的木马?
5、根据贴吧吧友描述,电信在问题被反应后开放端口供用户直接使用宽带账号密码连接宽带而跳过使用客户端(个人未验证可行性),那么这是否意味着此方法适用于之后宽带上网并可以免去使用客户端?此方法是否可以避免被木马再次影响?
6、如果5不成立,那么在必须使用天翼客户端经天翼宽带上网的情况下,何时可以使用没有问题的客户端上网?


那么好,抛开先前不少知友提到的垄断、交♂易之类blablabla的问题,我们先来探讨这些问题。
嗯,就这样。
顺便@vczh ,不知道有没有用。
上一篇:全讯网 goodpeixun.com 可靠吗? 下一篇:没有了