那天晚上翻仓库里的Steam库存,看见G胖又开始卖老游戏合集,顺手戳了个页面截图发群里。结果有兄弟跳出来说官网卖49,隔壁XX游戏盒才1块钱。我这人就爱较真,直接摸到那个绿色青蛙图标的平台主页去了。
查文件查到两眼发直
下载安装包时360直接弹了个红框警告,我愣是关了杀毒硬装。装完启动器自动在桌面生成五个页游图标——这熟悉的味道。打开安装目录一看,好家伙,Bin文件夹里塞着三款加速器和两套直播软件,还有俩文件名乱码的dll文件。
当场掏出火绒全盘扫,结果安全。不死心又拖安装包去腾讯哈勃分析,显示隐藏了修改浏览器主页的脚本。最骚的是游戏本体压缩包居然嵌着前年爆发的"银狐"勒索病毒特征码,吓得我赶紧拔网线重装系统。
跟破病毒斗智斗勇
第二天换了台老机器测试,特意开着任务管理器启动游戏。果然加载到70%突然爆出三个cmd进程,后台开始疯狂上传数据。用ProcessMonitor抓包发现这货在:
- 往AppData/Roaming塞了个伪装成壁纸软件的挖矿程序
- 往搜狗输入法插件目录复制伪装签名驱动
- 往Steam创意工坊文件夹注入广告劫持代码
本来想用沙盒运行,结果游戏提示反作弊系统不兼容直接闪退。
说点实在话
折腾两天得出
- 杀毒软件记得开脚本行为拦截,光靠特征码查杀根本防不住新变种
- 看进程树比扫全盘有用,病毒父进程通常是淘宝旺旺或网易云音乐
- 别信评论区里说"无毒"的,昨天刚抓到个用虚拟机脚本刷好评的
现在看见9.9打包的3A游戏合集都绕着走,有这时间还不如多搬几块砖直接入正版,省下的钱还不够买胃药的。