火绒安全团队发现BT索引站色情游戏暗藏挖矿木马

那一年的河川

火绒安全团队近期发现，BitTorrent索引站中的日本色情游戏被植入挖矿木马，病毒作者通过"白加黑“手段使游戏启动时加载恶意模块。该模块会检测虚拟机和逆向工具，最终创建傀儡进程注入挖矿木马实施挖矿操作。

据分析，2025年12月18日，用户hentaigames**在 Tokyo ToshokanBitTorrent索引站发布含毒游戏种子，随后被多个色情游戏论坛转载。火绒团队随机测试该用户发布的4款游戏，发现其中3款存在挖矿病毒。病毒文件主要为 version.dll、cryptbase.dll、libEGL.dll等恶意动态链接库。

该挖矿木马借助XMRig工具连接私人矿池，通过计算RandomX 哈希值提供算力。挖矿期间会长时间占用CPU性能和内存资源，实测显示占用6%CPU性能与2GB左右内存。若检测到任务管理器运行，挖矿行为将自动停止。

具体内容https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2287440&extra=page%3D1&mobile=no

这下赛博朋克了

武川日玄

任务管理器常驻看gpu温度....

ykmac

若检测到任务管理器运行，挖矿行为将自动停止。

碧空之歌P

只占用这么点很难察觉吧

因你而在的故事

那么问题来了，火绒团队是怎么发现的呢？
这个随机测试的四款游戏真的是随机测试吗

绮罗丛

就这？太良心了吧

—— 来自 鹅球 v3.3.96

不见不散

你们火绒小心点别把explorer.exe当病毒杀了就好，别整这些有的没的

aimbot

看南+好多人都中招了，吓得我赶紧自查了一遍
最近刚换硬盘，下了好多黄油
好在没中招

https://www.south-plus.net/simple/index.php?t2747215.html
有人做了溯源，查了一下病毒是从哪些地方出来的，近期有下dl小黄油的可以自查一下

另外提醒一下，该病毒具有较强的隐藏能力
特征应该就是游戏目录下的libEGL.dll 大小为525KB

运行游戏后会在 C:\Users\用户名\AppData\Local\ 目录下生成文件夹 syscacheapp。

当其监测到系统在尝试监控时会停止恶意行为以逃避检测。使用 windows 自带的资源管理器、System informer、AMD 的性能跟踪无法抓到其作恶记录
华硕的 armoury crate 监测电源可以观察到功耗的明显提升与CPU占用的异常提高。


感觉跟前几天帮亲戚杀的银狐差不多，免费的杀毒试了一圈搞不定，只能重装系统了

Humpy

aimbot 发表于 2026-1-2 15:53
看南+好多人都中招了，吓得我赶紧自查了一遍
最近刚换硬盘，下了好多黄油
好在没中招

看了眼我只有Epic Games\Launcher\Portal\Extras\Overlay\Win64下面的libEGL.dll是525kb，这算是SAFE了吗？

aimbot

Humpy 发表于 2026-1-2 16:12
看了眼我只有Epic Games\Launcher\Portal\Extras\Overlay\Win64下面的libEGL.dll是525kb，这算是SAFE了吗 ...

不是来路不明的游戏就没事应该，这个文件好像很多游戏还有系统驱动下面都有，只是病毒伪装成了这个文件
不是很专业的个人建议，如果不放心的话，下个360急救箱或者火绒，按下Win + R输入msconfig，在“引导”选项卡勾选“安全引导”和“网络”，重启后自动进入带网络连接的安全模式
在联网的安全模式下做一次全盘扫描
因为病毒库是要联网的，所有需要进有网络连接的安全模式
然后重复上面操作把引导勾选移除，重启就可以进入正常系统了

勿徊哉

所以即使中了，也只要开着任务管理器就没事？
感觉问题不大，任务管理器一直开着就行

=w=

原来是色情游戏，怪不得

斑驳的阴影

这个任务管理器运行就收手是在前台才停还是运行了即使最小化在后台也会停止？如果是后者那岂不是任务管理器常开就行，完全针对不懂电脑的啊（

—— 来自 鹅球 v3.5.99

Lorraine_Kinney

还好从来没下过，我毛片都是网盘看得

shinoverse

进程截杀器能看到这玩意吗

cc-2

涩情果然是第一生产力

Humpy

Andariel 发表于 2026-1-2 17:14
好久没下过盗版小黄油了
都是在dl买的
dl总不会放带马的包吧（

今日下午，有ASF论坛网友在通过正版渠道购入的游戏RJ01524136中发现此木马(即最开始玩家可以获取的版本就已经感染)，初步推测认为是作者的设备被感染后挖矿木马混入游戏中再通过被他人购买游玩的方式进行传播

目前其他含有挖矿木马的游戏资源的正版购入途径似乎没有爆出已感染的情况，但也可能只是因为海外杀毒软件没有更新所以目前还无法找出其中的问题

thisism

作者的设备感染，那么作者用不用老翻呢

tmmd

此事在N+论坛也有记载

ratchetes

还好我不下小红油

trow233

搜索了下机子，libEGL.dll一堆，包括夸克、迅雷目录里都有，不过没有525KB的

又搜了下，没有搜到syscacheapp文件夹

这算是安全？

otakun

赛博梅毒！

处男鉴黄师

虚拟机运行小黄油的重要性

scg2017

非正规渠道下载的软件本来就有风险，比如破解软件和色情游戏。而且正规渠道也有概率出问题，steam不知名的游戏太多，有些游戏的mod更是数不胜数，又没人审查

—— 来自 鹅球 v3.5.99

循此苦旅

病毒会触发UAC提示吗？还是不提权只藏起来挖矿？

赞卡机

这贴怎么发在外野 我说PC和游戏区都没看见讨论这次赛博梅毒的

noneoneone

只占6%CPU，看到任务管理器就停止，这很难发现啊。

66367749

搜了下那个文件名没看到525kb的，算safe吗？

Mimikami

还好我下小黄油都是shing大佬放的流，没中招

无攻不受鹿

笑死，昨晚在南+下游戏的时候看到了，赶紧查了下还好没中

小妻水亚美

Humpy 发表于 2026-1-2 16:12
看了眼我只有Epic Games\Launcher\Portal\Extras\Overlay\Win64下面的libEGL.dll是525kb，这算是SAFE了吗 ...

听说400多个游戏带毒，还是查杀一下吧

—— 来自 motorola XT2401-2, Android 15, 鹅球 v3.5.99

扎克远山

还好这段时间没下黄油

Freakyyu

我昨晚搜了一圈电脑里的libEGL.dll，有一些400kb以上的，没有一个超过500kb的。但我还是在C盘找到了syscacheapp这个文件夹，然而也没找到南+帖子里说的那个注册表。疑惑中

冰风血羽

还好我已经好多年没去东图找黄油了

—— 来自 realme RMX3706, Android 13, 鹅球 v3.5.99-alpha

魔法师lain

发布者是谁，girlcelly还是2dj？

—— 来自 HUAWEI ALT-AL10, Android 12, 鹅球 v3.5.99

humphrey

我最惊讶的是东图居然还活着

kzf

没找到lib，但看到了文件夹，于是全盘杀了一边，还真就有且只有这一个不过更神秘的是只有火绒查的到，wd和卡巴都没反应
—— 来自 Xiaomi 23078RKD5C, Android 13, 鹅球 v3.5.99