我有一位朋友,平時喜歡在賽博煙柳巷里感悟人生真諦。
他的硬盤時刻珍藏著各色黃油資源,閑暇時候也會去網上搜尋新發售的小游戲,屬于硬到沒邊的“第一人稱射擊大師”。
而如果各位也有這么一位“朋友”,那么接下來的提醒,麻煩各位先替自己的朋友看上一看。
![]()
近日,不少從外網游戲網站分享來的黃油資源,普遍被爆出含有病毒,會盜用玩家的電腦進行挖礦。
而根據火絨官方的描述,這些含有病毒的黃油資源,全都來自某個日本種子搜索網站上的同一用戶(hentaigames**)。
![]()
種子搜索網站及相關發布者(@火絨安全)
這位用戶近期分享了一系列免費黃油資源,像是某個“女主是大胃袋怪獸娘”的游戲,以及某個“女主是辣妹,但三條劇情線都被人NTR”的游戲......最后統計是有超過400款游戲因此遭殃。
如果各位對前頭的游戲描述有些印象,請自覺對號入座,并及時督促各自的“朋友”排查游戲文件。
![]()
有印象的自覺回去督促"朋友"
這些含有病毒的黃油資源,其中被動手腳的文件,大多是libEGL.dll、version.dll、cryptbase.dll等動態鏈接庫。
像是libEGL.dll文件......目前中招的玩家大都表示這文件的大小有525KB,相比正常情況偏大。
除此之外,上述文件的修改時間也明顯與其他游戲文件不同,仔細對照基本能發現不對勁。
![]()
![]()
小黃油的圖形渲染文件比大型游戲都大
不過比起這些被動手腳的文件,這次病毒最明顯的行為特征,還是會在“C:\Users\用戶名\AppData\Local\syscacheapp”目錄下生成一個名為“cacheapp64.exe”的文件。
這個文件的作用,就是向用戶的個人電腦注入木馬病毒。
因此通俗來講,如果各位想要查看自己有沒有中招,最直接的方法就是翻找對應文件夾里有沒有這個叫作“cacheapp64.exe”的文件。
要是真的找到了這個文件,大小也在750MB左右,那基本是確診“電子梅毒”了......
![]()
在染上這次的“電子梅毒”后,玩家自身的感受,大概就是覺得自己的電腦有點卡。
要放在平時,大伙可能會懷疑是游戲本身的優化太爛,又或者自家的電腦配置有點低。
![]()
但在此時此刻,各位完全不用對自家的硬件性能感到焦慮,因為好消息是:這次電腦的卡頓完全是外在因素。
......然而壞消息是:外在因素是“電子梅毒”正趴在床底下偷用你的電腦。
(病毒會占用6%的CPU性能+2GB左右的內存用于挖礦)
![]()
火絨官方的測試數據(@火絨安全)
另外需要注意,這里的病毒雖然會擠占玩家的電腦性能,但任務管理器并沒法正常監測到這一情況。
因為這個病毒本身會實時檢測任務管理器等工具是否啟用,直至發現這些工具已被關閉,才會繼續執行挖礦程序。
在這個病毒面前,任務管理器就好比無能的丈夫,只能眼睜睜地看著系統資源被透明人挑逗撥弄。
![]()
當然,“查看任務管理器”這一方式對病毒也不是全然沒用,至少部分神奇的網友是拿它來屏蔽病毒。
其中的原理非常直接:病毒程序在檢測到任務管理器時會停止運行,那我一直開著任務管理器不就好了?
![]()
《逆向工程》
不過對于大多數追求穩妥的玩家來說,遇到病毒時還是使用專業的殺毒軟件更令人放心。
個人也是建議大伙盡量選擇這種方式,上述的花活能少整還是少整。
![]()
在這方面,火絨、瑞星和卡巴斯基目前都把這一病毒更新進了病毒庫,大伙可以選擇這幾款軟件進行全盤查殺。
至于其他軟件,大伙則可以留心一下各自官方論壇,又或者去VirusTotal上查看病毒庫更新情況。
![]()
那么事件描述到這里,各位應該也是時候回去督促各自的“朋友”進行病毒查殺了。
不過這里還有一個注意點(樂子),就是最近有老哥反映:從網絡下載到的火絨殺毒軟件,很有可能是木馬病毒偽裝的。
![]()
小黑盒上的吐槽(@周鐵男是我)
只能說古時候的“華容道”小故事,直至今天依然屬于熱門題材。
你以為你發現了黃油中隱藏的病毒陷阱,實際上這不過是落入另一個陷阱的前置條件。
曹操要是活在當今時代,可能也不得不感慨一句“溝槽的華容道還**在追我”。
![]()
“我笑那毒黃油無謀、假火絨少智”
根據目前網絡上的信息,假火絨網站的域名是“.com”,真正的火絨官網則是“.cn”。
假火絨網站還會在名稱上特地標注“官網”之類的字眼,因此相較于真正的官網,無疑有種畫蛇添足的感覺,大伙可以依此進行識別。
![]()
除此之外,識別假火絨官網的方式,也可以是它所提供下載的文件。
在假火絨的網站上,大伙能下載到的是一個壓縮包,而非直接的exe可執行文件。
![]()
假火絨下載的是一個壓縮包(@Z極客)
在這一壓縮包被解壓之后,文件圖標也和正版火絨程序有明顯差異:有時候它是套用其他軟件的圖標,有時候他則是套用安裝好后的火絨圖標。
![]()
![]()
所以相較于被摻了病毒的黃油資源,這里的假火絨還是比較容易避開的,大家只要對正版火絨的網址及安裝程序有所了解,基本就不會掉進坑里。
并且假火絨的網站也已經被主流殺毒軟件標記,各位在收到相關提醒的時候,也請理解一下:這真不是其他殺毒軟件在搞同行霸凌!這真的是木馬網站!
![]()
這真的不是同行霸凌
最后,由于咱們當前的時間點離春節也就一個多月,平時的周末也會忍不住進行一些娛樂放松,所以還是再次提醒各位小心各種賽博騙局。
畢竟就如今的網絡環境來說,哪怕是下個Chrome瀏覽器,也可能下成Chromee瀏覽器。
而Steam上的免費入庫游戲,之前也有《PirateFi》這個暗藏木馬病毒的例子。更別說在4個月前,還有患癌主播被《BlockBlasters》這游戲盜取了3.2萬美元籌款。
![]()
只能說賽博煙柳巷固然很魔幻,但正常的游戲里也未必沒有比這更魔幻的情況。
平時的咱們雖然老是吐槽自家長輩,老是喜歡往家庭群里轉發各種浮夸的反詐文章,但如果真牽扯到咱們在乎的東西,咱們或許也不比老一輩們好到哪里去。
......希望在五年后,往家族群里轉發各種反詐文章的,不會變成我自己。
![]()
圖源@火絨安全
將我們設為星標☆,點亮愛心
就可以及時看到文章和資訊啦
感謝大家的支持!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.