火星安全警报：热门游戏被病毒团伙利用 每天感染数十万台电脑

本篇文章862字，读完约2分钟

最近，天鹅绒安全实验室(Velvet Security Lab)发出警报，称病毒团伙正在通过使用许多流行游戏，疯狂传播后门病毒“后门/jsctrl”，每天有数十万台电脑被感染。病毒制造者感染病毒后，可以随时通过远程指令进行下载其他病毒程序、劫持流量等各种破坏性行为，从中获取利益。

游戏运行界面

据天鹅绒安全团队分析，该病毒被伪装成制作人安装的数据统计组件，并被植入《传奇世界》、《传奇霸王》、《蓝月亮传奇》和《九天神曲》等热门游戏的微终端安装包中。当用户在pchome和Download Bar等网站上下载一些软件时，他们将被捆绑安装这些游戏微终端。这些网站提供的高速下载程序也将推广病毒安装包，而病毒也将趁机进入用户的电脑。

当病毒入侵计算机时，病毒制造者可以通过修改服务器上的后门代码来远程控制受害者的计算机，并执行各种破坏性行为，包括下载其他病毒程序和在后台秘密清除流量。

病毒“后门/jsctrl”非常顽固和隐蔽，它不仅可以通过卸载游戏来移除，还具有“反跟踪”设置，可以监控远程协助软件(如安全供应商常用的teamviewer)的运行窗口。一旦发现有人在远程协助，所有与病毒相关的文件都将被完全删除，以避免被安全研究人员跟踪。

等待进程退出

后门病毒是在上述游戏微终端按照分包合同运行后植入的，即使游戏被卸载，后门病毒仍会驻留在系统中。在远程c&c服务器中存储的javascript代码的控制下，病毒可以执行任何windows api或其他后门逻辑(如下载和运行命令行等)。)通过使用封装在病毒中的javascript对象。此外，在我们最近的分析和跟踪过程中，c&c服务器发布的后门脚本仍然处于不断更新的状态。

与一般的游戏不同，这些游戏是经过努力推广的，张家辉、古天乐和其他著名的香港明星都被邀请为它们代言。网络推广势不可挡，病毒利用这种情况得以传播。根据“廷德尔威胁情报系统”的统计和评估，每天大约有30万至50万台计算机被病毒感染。至于病毒的原因，天鹅绒安全团队表示，病毒团伙可能是游戏推广渠道的一部分，并建议上述游戏制造商尽快彻底调查自己的游戏推广渠道。

目前，“天鹅绒安全软件”已经升级了其病毒数据库，并能率先拦截和查杀“后门/jsctrl”。天鹅绒工程师提醒用户尽可能通过官方网站下载软件，以免在捆绑和推广时感染病毒。