最近圈子里都在传那个叫“暴食的怪兽公主”的小游戏。我这个人,对这种非主流渠道的东西天生警惕。这玩意儿火得没道理,一查,果然,正经渠道找不到,全是一些乱七八糟的资源站和论坛在推,甚至还有不少人在问“我下载了是不是中毒了?”
得,这活儿得我来干了。我倒是要看看,这些资源包里到底塞了些什么脏东西。我的原则很简单:你越是藏着掖着,我就越要扒开你的皮,看看里面到底是不是个烂心儿。
第一步:广撒网,收集病毒饵料
我的实践是从最危险的地方开始的。我注册了几个平时根本不碰的小论坛和资源站的账号,混了进去,找到了十几个号称“完美汉化无毒版”的下载链接。这些链接长得就磕碜,要么是百度网盘里套着密码压缩包,要么直接就是那些“点击下载立即开始”的快链。
我当然不可能直接在我的主力机上跑这些东西。我搬出了我的老旧实验机,那台机子我已经给它做好了系统隔离和网络监控的准备,就算炸了也无所谓。我甚至故意关闭了它里面一些比较敏感的防护软件,我要让那些病毒链接以为自己得手了。
我开始批量下载。这个过程简直是灾难。点开一个下载页,立马弹出来五个广告窗口,有让你注册赌博网站的,有让你装什么加速器的,全部都是流氓软件的温床。我花了一个多小时,终于把那些藏在层层广告后面的压缩包全部拖了下来。
我清点了一下,总共拿到了13个不同的压缩包。文件名都是什么“MonsterPrincess_Final_*”这种,一看就是被二次打包过的。光从名字上,就已经能闻到一股臭味了。
第二步:解剖文件,排查恶意行为
我把这些压缩包一个个解开。大部分都需要输入密码,密码一般就是那个网站的域名。这本身就是一种推广行为,但真正的病毒往往就藏在解压后的文件里。
我发现,几乎所有的“安装包”都不是原生的游戏文件。它们都是一个经过特殊打包的安装程序。我运行了其中一个体积最大、伪装得最像样的安装程序。表面上看,它在安装游戏,进度条走得挺快。但我同时打开了任务管理器、系统监控工具,还有网络抓包工具,三管齐下,看看它到底在背地里干什么。
安装过程一启动,立马就跳出来一个莫名其妙的进程,名字是随机字符,占用的CPU和内存贼高。而且它并不是一闪而过,而是驻扎下来,哪怕安装进度条走完了,这个进程还在那里稳定运行。我赶紧记录下它在注册表里写入了哪些东西,又试图连接哪些外部地址。
结果正如我所料。这玩意儿压根不是单纯装游戏。它偷偷摸摸地在后台塞进去了两样东西:
- 流氓推广软件: 它会在你桌面创建一堆你根本没装过的图标,而且这些图标指向的都是一些高风险的网站,更恶心的是,它会把自己伪装成系统文件,让你卸载不了。
- 数字货币挖矿脚本: 这才是这回实践中抓到的大头。它伪装成系统服务,在你玩游戏或者电脑闲置的时候,悄悄地消耗你的显卡资源和电费。我通过抓包查到它连接的服务器地址,明显就是国内某些私人搭建的矿池。这帮人下载游戏免费,但付出的代价是自己的机器变成了别人的摇钱树。
十三个包里,有十个都携带了这种挖矿或推广的恶意程序。它们的安装逻辑几乎一模一样,只是换了个皮,换了个文件名而已。
第三步:排除陷阱,找到真正的源头
我找遍了那些压缩包,终于在第11个下载包里,找到了一个体积小得可怜的文件夹,里面只有几个游戏运行依赖库和一个不到100MB的执行文件。这个文件我放到我的杀毒软件里扫了一遍,是干净的。我运行了它,游戏画面顺利启动,没有任何多余的后台进程。
这才是真正的游戏主体,一个独立的小程序,甚至都不需要安装。那之前的十个安装包是什么?全是病毒的壳子!那些推广站,他们故意把真正的游戏主体藏起来,诱导你去下载那些带着安装器的版本,目的就是为了在你机器里种下挖矿程序。
今天我实践下来,给大家提个醒。咱们玩游戏图个乐,可别让自己的电脑变成别人的打工仔。这些黑心推广者,为了那点挖矿收益,真是什么手段都敢用。大家下载资源,一定要擦亮眼睛!
- 不要相信那些声称“完美汉化”的EXE安装程序: 真正的小黄油或者独立游戏,很多都是绿色版,解压即玩。一旦要求你点“下一步”、“我同意”安装的,多半有鬼。
- 注意观察文件大小: 如果一个像素风的小游戏,安装包动不动就是几百兆甚至一个G,那里面肯定塞了不该有的东西。
- 使用隔离环境测试: 如果你实在忍不住想尝试,请务必在虚拟机或者老旧的备用电脑上运行。别拿你吃饭的主力机冒险,电费事小,资料被窃事大。
我花了一晚上时间,折腾了这十几个毒包,就是想让大家少走弯路。我的实践记录就到这儿,老规矩,有问题咱评论区聊。