那一年的河川 发表于 2026-1-2 15:21

火绒安全团队发现BT索引站色情游戏暗藏挖矿木马

火绒安全团队近期发现,BitTorrent索引站中的日本色情游戏被植入挖矿木马,病毒作者通过"白加黑“手段使游戏启动时加载恶意模块。该模块会检测虚拟机和逆向工具,最终创建傀儡进程注入挖矿木马实施挖矿操作。

据分析,2025年12月18日,用户hentaigames**在 Tokyo ToshokanBitTorrent索引站发布含毒游戏种子,随后被多个色情游戏论坛转载。火绒团队随机测试该用户发布的4款游戏,发现其中3款存在挖矿病毒。病毒文件主要为 version.dll、cryptbase.dll、libEGL.dll等恶意动态链接库。

该挖矿木马借助XMRig工具连接私人矿池,通过计算RandomX 哈希值提供算力。挖矿期间会长时间占用CPU性能和内存资源,实测显示占用6%CPU性能与2GB左右内存。若检测到任务管理器运行,挖矿行为将自动停止。

具体内容https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2287440&extra=page%3D1&mobile=no

这下赛博朋克了

武川日玄 发表于 2026-1-2 15:24

任务管理器常驻看gpu温度....

ykmac 发表于 2026-1-2 15:25

若检测到任务管理器运行,挖矿行为将自动停止。

碧空之歌P 发表于 2026-1-2 15:38

只占用这么点很难察觉吧

因你而在的故事 发表于 2026-1-2 15:50

那么问题来了,火绒团队是怎么发现的呢?
这个随机测试的四款游戏真的是随机测试吗

绮罗丛 发表于 2026-1-2 15:51

就这?太良心了吧

—— 来自 鹅球 v3.3.96

不见不散 发表于 2026-1-2 15:51

你们火绒小心点别把explorer.exe当病毒杀了就好,别整这些有的没的

aimbot 发表于 2026-1-2 15:53

本帖最后由 aimbot 于 2026-1-2 16:09 编辑

看南+好多人都中招了,吓得我赶紧自查了一遍
最近刚换硬盘,下了好多黄油
好在没中招

https://www.south-plus.net/simple/index.php?t2747215.html
有人做了溯源,查了一下病毒是从哪些地方出来的,近期有下dl小黄油的可以自查一下

另外提醒一下,该病毒具有较强的隐藏能力
特征应该就是游戏目录下的libEGL.dll 大小为525KB

运行游戏后会在 C:\Users\用户名\AppData\Local\ 目录下生成文件夹 syscacheapp。

当其监测到系统在尝试监控时会停止恶意行为以逃避检测。使用 windows 自带的资源管理器、System informer、AMD 的性能跟踪无法抓到其作恶记录
华硕的 armoury crate 监测电源可以观察到功耗的明显提升与CPU占用的异常提高。


感觉跟前几天帮亲戚杀的银狐差不多,免费的杀毒试了一圈搞不定,只能重装系统了

Humpy 发表于 2026-1-2 16:12

aimbot 发表于 2026-1-2 16:26

本帖最后由 aimbot 于 2026-1-2 16:30 编辑

Humpy 发表于 2026-1-2 16:12
看了眼我只有Epic Games\Launcher\Portal\Extras\Overlay\Win64下面的libEGL.dll是525kb,这算是SAFE了吗 ...

不是来路不明的游戏就没事应该,这个文件好像很多游戏还有系统驱动下面都有,只是病毒伪装成了这个文件
不是很专业的个人建议,如果不放心的话,下个360急救箱或者火绒,按下Win + R输入msconfig,在“引导”选项卡勾选“安全引导”和“网络”,重启后自动进入带网络连接的安全模式
在联网的安全模式下做一次全盘扫描
因为病毒库是要联网的,所有需要进有网络连接的安全模式
然后重复上面操作把引导勾选移除,重启就可以进入正常系统了

勿徊哉 发表于 2026-1-2 16:36

所以即使中了,也只要开着任务管理器就没事?
感觉问题不大,任务管理器一直开着就行

=w= 发表于 2026-1-2 16:51

原来是色情游戏,怪不得

斑驳的阴影 发表于 2026-1-2 16:51

这个任务管理器运行就收手是在前台才停还是运行了即使最小化在后台也会停止?如果是后者那岂不是任务管理器常开就行,完全针对不懂电脑的啊(

—— 来自 鹅球 v3.5.99

Lorraine_Kinney 发表于 2026-1-2 16:51

还好从来没下过,我毛片都是网盘看得

shinoverse 发表于 2026-1-2 17:11

进程截杀器能看到这玩意吗

Andariel 发表于 2026-1-2 17:14

cc-2 发表于 2026-1-2 17:23

涩情果然是第一生产力

Humpy 发表于 2026-1-2 17:35

thisism 发表于 2026-1-2 17:43

作者的设备感染,那么作者用不用老翻呢

tmmd 发表于 2026-1-2 17:48

本帖最后由 tmmd 于 2026-1-2 17:51 编辑

此事在N+论坛也有记载

Andariel 发表于 2026-1-2 17:50

ratchetes 发表于 2026-1-2 17:53

还好我不下小红油

trow233 发表于 2026-1-2 18:16

搜索了下机子,libEGL.dll一堆,包括夸克、迅雷目录里都有,不过没有525KB的

又搜了下,没有搜到syscacheapp文件夹

这算是安全?

otakun 发表于 2026-1-2 18:16

赛博梅毒!

处男鉴黄师 发表于 2026-1-2 18:16

虚拟机运行小黄油的重要性

scg2017 发表于 2026-1-2 18:33

非正规渠道下载的软件本来就有风险,比如破解软件和色情游戏。而且正规渠道也有概率出问题,steam不知名的游戏太多,有些游戏的mod更是数不胜数,又没人审查

—— 来自 鹅球 v3.5.99

循此苦旅 发表于 2026-1-2 18:41

赞卡机 发表于 2026-1-2 18:49

这贴怎么发在外野 我说PC和游戏区都没看见讨论这次赛博梅毒的

noneoneone 发表于 2026-1-2 18:49

只占6%CPU,看到任务管理器就停止,这很难发现啊。

66367749 发表于 2026-1-2 18:53

搜了下那个文件名没看到525kb的,算safe吗?

Mimikami 发表于 2026-1-2 18:57

还好我下小黄油都是shing大佬放的流,没中招

无攻不受鹿 发表于 2026-1-2 19:05

笑死,昨晚在南+下游戏的时候看到了,赶紧查了下还好没中

小妻水亚美 发表于 2026-1-2 19:19

Humpy 发表于 2026-1-2 16:12
看了眼我只有Epic Games\Launcher\Portal\Extras\Overlay\Win64下面的libEGL.dll是525kb,这算是SAFE了吗 ...

听说400多个游戏带毒,还是查杀一下吧

—— 来自 motorola XT2401-2, Android 15, 鹅球 v3.5.99

yyman 发表于 2026-1-2 19:26

扎克远山 发表于 2026-1-2 19:31

还好这段时间没下黄油

Freakyyu 发表于 2026-1-2 19:34

本帖最后由 Freakyyu 于 2026-1-2 19:40 编辑

我昨晚搜了一圈电脑里的libEGL.dll,有一些400kb以上的,没有一个超过500kb的。但我还是在C盘找到了syscacheapp这个文件夹,然而也没找到南+帖子里说的那个注册表。疑惑中

冰风血羽 发表于 2026-1-2 19:35

还好我已经好多年没去东图找黄油了

—— 来自 realme RMX3706, Android 13, 鹅球 v3.5.99-alpha

魔法师lain 发表于 2026-1-2 19:40

发布者是谁,girlcelly还是2dj?

—— 来自 HUAWEI ALT-AL10, Android 12, 鹅球 v3.5.99

humphrey 发表于 2026-1-2 19:42

我最惊讶的是东图居然还活着

kzf 发表于 2026-1-2 20:50

本帖最后由 kzf 于 2026-1-2 20:53 编辑

没找到lib,但看到了文件夹,于是全盘杀了一边,还真就有且只有这一个不过更神秘的是只有火绒查的到,wd和卡巴都没反应
—— 来自 Xiaomi 23078RKD5C, Android 13, 鹅球 v3.5.99
页: [1] 2
查看完整版本: 火绒安全团队发现BT索引站色情游戏暗藏挖矿木马