昨天群里好几个兄弟都在问《母亲与地牢》更新的事儿,一看链接都换了新地址。正琢磨要不要点开,突然想起上次老王下盗版中勒索病毒的事,后背一凉。得,干脆自己趟趟雷,顺便录个安全检查过程给大伙当参考。
第一步:链接解剖
先把更新地址复制出来戳开,上来就盯住三处:域名尾巴不对劲。正常官网该是”.com”或者”.io”,但这串地址尾巴挂着”.xyz”,还掺着两三个减号。顺手拖到站长工具查备案,好家伙,服务器蹲在毛里求斯,注册信息全是隐私保护状态。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
- 打开虚拟机里的沙箱系统
- 把下载包拖进隔离区
- 右键属性看数字签名全空白
第二步:安装暗坑
安装过程倒是顺溜,但进度条走到70%突然弹窗要管理员权限。这时候沙箱检测仪开始抽风似地报警,仔细看记录发现这货偷偷在后台连了仨IP:一个荷兰的,一个巴西的,还有个罗马尼亚的。赶紧断网继续跑完安装,桌面上生成的快捷方式右键属性里藏着磁链推广参数,这手法跟去年那些流氓挖矿软件一个德行。
第三步:启动钓鱼
双击图标启动时跳更新公告,满屏“限时免费DLC”的红色大字晃得眼疼。重点来了:点关闭按钮居然没反应!故意把关闭按钮做得比米粒还小,鼠标稍微一偏就触发隐藏的超链,直接弹出赌博广告,关都关不掉。用火绒剑抓进程,发现这玩意在系统盘里生成了个伪装成DirectX组件的傀儡服务。
翻车救援
这时候虚拟机已经卡成幻灯片了,赶紧拍快照回滚。重启后用Everything搜那几个异常进程名,手动清注册表残余项。最绝的是在文档文件夹里翻出三个伪装成存档的.dat文件,用文本编辑器打开一看全是加密的推广链接。
总结这回踩雷经验:
- 新地址带非常规域名后缀的绕道走
- 安装过程索要多余权限直接掐断
- 关闭按钮设计诡异的必有猫腻
- 存档文件格式不对的马上删
搞完这套检查已经深夜了,老老实实爬去官网重下。顺便说个真事:上礼拜群友小张嫌麻烦直接点更新,第二天支付宝里五百多笔六块钱的Steam土耳其区代充记录。大家引以为戒!
