成人游戏被植入后门病毒,通过BT种子下载站传播,用户需警惕防范。
火绒工程师溯源发现,后门病毒被打包进数款成人类游戏,在成人游戏BT种子下载站等地传播。用户下载游戏运行后,便会激活其中的后门病毒,执行挖矿模块。
借助BT种子下载站向固定游戏人群传播病毒已成为病毒扩散的一大方式,成人类等敏感游戏因具备灰色性质,易欺骗用户,使其在查杀时当成误报而放过。
驻留终端:病毒程序运行后,会在用户终端新建文件目录并将自身复制其中,用户卸载游戏后仍可驻留。还会将自身添加在Windows Defender排除目录下,躲避查杀。
定时运行:每隔五分钟自行运行一次,运行前检测用户终端鼠标指针移动及任务管理器情况,检测到用户使用电脑便立即停止挖矿,避免被发现。
隐蔽挖矿:创建计划任务,从创建当天的23:10开始,之后每隔五分钟运行一次病毒模块。运行时隐藏自身所在目录,清理之前的挖矿组件。接收后门指令,获得受害主机信息和控制挖矿执行流程,且只在主机空闲时挖矿,检测到主机有Taskmgr进程存在、当前窗口变化或者鼠标指针移动,则结束进程停止挖矿。
病毒危害
病毒通过挖矿牟取利益,已获利数万余元。
防范建议
尽量选择正规渠道下载游戏,避免从成人游戏BT种子下载站等不可信来源下载。
下载游戏前,先开启火绒等靠谱的安全软件扫描查杀后再运行。
