【快訊】

近期，火絨接到一起使用者感染病毒的求助，火絨工程師檢視分析後，確認為後門病毒。經過溯源發現，該病毒被打包進數款成人類遊戲，並在成人遊戲BT種子下載站等地傳播。當下載遊戲執行後，便會啟用其中的後門病毒，執行挖礦模組。火絨使用者無需擔心，火絨安全軟體最新版已對上述病毒進行攔截查殺。

火絨工程師詳細分析發現，該後門病毒偽裝的遊戲程式被執行後，會在使用者終端上新建一個檔案目錄並將自身複製到其中，以便使用者解除安裝遊戲後仍可以駐留在使用者終端上。不僅如此，該病毒還將自身新增在Windows Defender排除目錄下，以躲避其查殺。

此外，為了兼顧隱蔽性和效率，該病毒會每隔五分鐘自行執行一次，並在執行前檢測使用者終端滑鼠指標移動及任務管理器情況，一旦檢測到使用者使用電腦，病毒便立即停止挖礦避免造成電腦卡頓後被發現，行為十分狡猾，使用者需小心防範。

火絨工程師表示，藉助BT種子下載站向固定遊戲人群傳播病毒已經成為病毒擴散的一大方式，特別是一些成人類等敏感遊戲，由於其本身具備灰色遊戲的性質，容易欺騙使用者查殺時當成誤報而放過。在此，我們也建議大家儘量選擇正規渠道下載遊戲，必要時，可先開啟火絨等靠譜的安全軟體掃描查殺後再執行。

附：【分析報告】

一、 詳細分析

近期，火絨接到使用者反饋電腦中可能被植入了挖礦病毒，隨後我們確認了中毒情況。經過溯源分析，我們發現一個成人遊戲BT種子下載站中可以下載到被植入該病毒的遊戲壓縮包，病毒會偽裝成遊戲主程式誘導使用者點選、執行後門挖礦病毒，病毒執行後會下載執行挖礦模組。病毒執行流程，如下圖所示：

病毒執行流程圖

使用者下載含有病毒的成人遊戲，點選偽造的遊戲主程式，便會執行病毒模組。具體檔案列表，如下圖所示：

使用者下載並點選偽造的遊戲主程式

病毒會判斷自身路徑是否包含“AppData\Roaming”， 如果不包含則啟動同目錄下的*。tmp遊戲原檔案，等待遊戲退出後執行惡意操作。具體現象，如下圖所示：

病毒啟動原來的遊戲主程式

原始遊戲

當遊戲退出後，病毒會檢測殺軟（卡巴斯基），並將%APPDATA%目錄（病毒存放自身和挖礦元件的目錄）新增到Windows Defender的排除目錄中。具體程式碼，如下圖所示：

檢測殺軟，新增Windows Defender排除目錄

病毒複製自身到%Appdata%\ms\service。exe。相關程式碼，如下圖所示：

複製自身到%Appdata%\ms\service。exe

複製自身到%Appdata%\ms\service。exe

病毒會建立計劃任務，從計劃任務建立當天的23：10開始之後每隔五分鐘執行一次%Appdata%\ms\service。exe模組。相關程式碼，如下圖所示：

建立計劃任務

主機的計劃任務資訊

當計劃任務啟動病毒模組%Appdata%\ms\service。exe時，病毒會將自身所在的目錄隱藏，並清理之前的挖礦元件。

清理之前的挖礦元件

病毒可以接收後門指令，從而獲得受害主機資訊和控制挖礦的執行流程。具體程式碼，如下圖所示：

接收後門指令和下載執行挖礦

病毒為了能夠持久駐留，不被使用者發現，只在主機空閒時挖礦。病毒如果檢測到主機有Taskmgr（任務管理器）程序存在、當前視窗變化或者滑鼠指標移動，則結束程序停止挖礦。相關程式碼，如下圖所示：

閒時挖礦

經過查詢，該病毒透過挖礦牟取利益數萬餘元。該病毒的部分錢包地址資訊，如下圖所示：

部分錢包地址資訊

二、 附錄

樣本hash