根据Avast数据近30天的数据,近50000个Minecraft用户感染恶意木马,这些木马的源码显示,主要恶意行为有格式化硬盘、删除备份数据和系统程序等恶意操作。
Avast威胁情报实验室的研究人员发现,恶意的木马是用windows Powershell脚本编写,通过嵌入Minecraft“皮肤”包PNG文件,和免费共享的换肤包被一起分发,用户下载皮肤包,木马被一起下载到本地。
换肤是功能是Minecraft玩家修改头像,自定义角色外观,被广泛使用的功能。有大量的皮肤包被共享在互联网上以供下载,包括官方Minecraft网站以及其他游戏资源下载站。
被注入的恶意代码截图:
代码写的很烂,好像是某脚本本小子通过,网上搜索一步一步病毒系列中直接ctrl+c,ctrl+v过去,代码至今能在网上搜索的到。尽管代码写的很业余,但是完全不妨碍他的破坏力。主要的问题为什么Minecraft共享站点没有检测到这个目录,hi专业的网络犯罪分子是公平的,但更重要的是为什么感染的皮肤可以合法地上传到Minecraft网站,官方文件检测系统没有检测到?。
目前已经联系到了Minecraft的创建人Mojang,他们正在努力修复这个漏洞。
为什么选择Minecraft?
截至2018年1月, 我的世界(Minecraft)在全球有7400万玩家在撸,同比增长近2000万。但是,只有非常比例的用户会下载换肤包,修改皮肤。绝大多数玩家都使用Minecraft提供的默认版本。这就是为啥木马感染不多的原因。尽管数量较少,但鉴于全球活跃球员的数量,潜在的感染可能很大。
尽管Minecraft有着广泛的用户人口范围,但最大的用户年龄范围为15-21岁,占用户总数的43%。但是统计数据可能有些不太准确,有些小玩家是假装成父母或者监护人从而骗取游戏运营商的信任。 虽然可能是一种渗透攻击,单很大意义上可能为了娱乐,为了显摆,脚本小子更常见的心态。
木马的识别
用户可以通过多种方式识别威胁。该恶意木马嵌入在Minecraft网站上提供皮肤包文件中。下面是三个包含恶意软件的示例。
不是所有的皮肤都有问题,但是如果下载过如下样式的皮肤,可能已经中标,建议对系统做防病毒扫描。
用户还可能会在其账号收件箱中收到一些诡异的消息。一些确定的例子是:
“You AreNailed, Buy A New Computer This Is A Piece Of Sh*t”
“You have maxed your internet usage for a lifetime”
“Your a** got glued”
相关证据(code):
其他感染证据包括,由简单的tourstart.exe进程循环,并因此造成系统性能卡顿或与磁盘格式化有关的告警和错误信息。
相关证据(code):
用户如何保护自己?
使用防病毒软件扫描您的计算机将检测恶意文件,并将检测到的代码删除。有必要某些情况下,重装游戏。在更极端的情况下,用户机器已经感染恶意软件并且系统文件已被删除,建议尝试用系统和数据恢复软件(final data等)恢复重要的数据。
兄弟“要致富,先撸树”,撸树之前要干嘛?
查毒啊,笨!
来源:freebuf.com 2018-04-18 11:33:49 by: ijzmesec
请登录后发表评论
注册