【快讯】近期，火绒接到沿途用户感染病毒的求援，火绒工程师检察分析后，阐述为后门病毒。经过溯源发现，该病毒被打包进数款成东说念主类游戏，并在成东说念主游戏BT种子下载站等地传播。当下载游戏运行后，便会激活其中的后门病毒，现实挖矿模块。火绒用户无需惦记，火绒安全软件最新版已对上述病毒进行抑止查杀。 火绒工程师详备分析发现，该后门病毒伪装的游戏轮番被运行后，会在用户终局上新建一个文献目次并将自身复制到其中，以便用户卸载游戏后仍不错驻留在用户终局上。不仅如斯，该病毒还将自身添加在Windows Defender扬弃目次下，以躲闪其查杀。此外，为了兼顾掩饰性和后果，该病毒会每隔五分钟自走运行一次，并在运行前检测用户终局鼠标指针移动及任务解决器情况，一朝检测到用户使用电脑，病毒便立即罢手挖矿幸免形成电脑卡顿后被发现，举止相配恶毒，用户需留神凝视。火绒工程师示意情色 调教，借助BT种子下载站向固定游戏东说念主群传播病毒照旧成为病毒扩散的一大表情，额外是一些成东说念主类等明锐游戏，由于其自己具备灰色游戏的性质，容易糊弄用户查杀时当成误报而放过。在此，咱们也冷漠全球尽量选定正规渠说念下载游戏，必要时，可先开启火绒等靠谱的安全软件扫描查杀后再运行。

附：【分析申报】一、 详备分析近期，火绒接到用户响应电脑中可能被植入了挖矿病毒，随后咱们阐述了中毒情况。经过溯源分析，咱们发现一个成东说念主游戏BT种子下载站中不错下载到被植入该病毒的游戏压缩包，病毒会伪装成游戏主轮番相接用户点击、现实后门挖矿病毒，病毒现实后会下载现实挖矿模块。病毒现实历程，如下图所示： 病毒现实历程图

用户下载含有病毒的成东说念主游戏，点击伪造的游戏主轮番，便会现实病毒模块。具体文献列表，如下图所示： 用户下载并点击伪造的游戏主轮番

病毒会判断自身旅途是否包含“AppData\Roaming”， 如若不包含则启动同目次下的*.tmp游戏原文献，恭候游戏退出后履积坏心操作。具体风物，如下图所示： 病毒启动蓝本的游戏主轮番 原始游戏

当游戏退出后，病毒会检测杀软（卡巴斯基），并将%APPDATA%目次（病毒存放自身和挖矿组件的目次）添加到Windows Defender的扬弃目次中。具体代码，如下图所示： 检测杀软，添加Windows Defender扬弃目次

病毒复制自身到%Appdata%\ms\service.exe。关联代码，如下图所示： 复制自身到%Appdata%\ms\service.exe 复制自身到%Appdata%\ms\service.exe

病毒会创建诡计任务，从诡计任务创建今日的23:10驱动之后每隔五分钟运行一次%Appdata%\ms\service.exe模块。关联代码，如下图所示： 创建诡计任务 主机的诡计任务信息

当诡计任务启动病毒模块%Appdata%\ms\service.exe时，病毒会将自身方位的目次荫藏，并计帐之前的挖矿组件。 计帐之前的挖矿组件

病毒不错摄取后门领导，从而赢得受害主机信息和截至挖矿的现实历程。具体代码，如下图所示： 摄取后门领导和下载现实挖矿

病毒为了粗俗握久驻留，不被用户发现，只在主机舒畅时挖矿。病毒如若检测到主机有Taskmgr(任务解决器)进度存在、现时窗口变化或者鼠标指针移动，则杀青进度罢手挖矿。关联代码，如下图所示： 闲时挖矿

经过查询，该病毒通过挖矿牟取利益数万余元。该病毒的部分钱包地址信息，如下图所示： 部分钱包地址信息

鬼父在线观看

二、 附录样本hash

[课程]Linux pwn 探索篇！情色 调教