我的世界Minecraft官方「皮膚」包現惡意代碼，可格式化硬碟

根據Avast數據近30天的數據，近50000個Minecraft用戶感染惡意木馬，這些木馬的源碼顯示，主要惡意行為有格式化硬碟、刪除備份數據和系統程序等惡意操作。

Avast威脅情報實驗室的研究人員發現，惡意的木馬是用windows Powershell腳本編寫，通過嵌入Minecraft"皮膚"包PNG文件，和免費共享的換膚包被一起分發，用戶下載皮膚包，木馬被一起下載到本地。

換膚是功能是Minecraft玩家修改頭像，自定義角色外觀，被廣泛使用的功能。有大量的皮膚包被共享在互聯網上以供下載，包括官方Minecraft網站以及其他遊戲資源下載站。

被注入的惡意代碼截圖：

代碼寫的很爛，好像是某腳本本小子通過，網上搜索一步一步病毒系列中直接ctrl+c，ctrl+v過去，代碼至今能在網上搜索的到。儘管代碼寫的很業餘，但是完全不妨礙他的破壞力。主要的問題為什麼Minecraft共享站點沒有檢測到這個目錄，hi專業的網路犯罪分子是公平的，但更重要的是為什麼感染的皮膚可以合法地上傳到Minecraft網站，官方文件檢測系統沒有檢測到？。

目前已經聯繫到了Minecraft的創建人Mojang，他們正在努力修復這個漏洞。

為什麼選擇Minecraft？

截至2018年1月， 我的世界（Minecraft）在全球有7400萬玩家在擼，同比增長近2000萬。但是，只有非常比例的用戶會下載換膚包，修改皮膚。絕大多數玩家都使用Minecraft提供的默認版本。這就是為啥木馬感染不多的原因。儘管數量較少，但鑒於全球活躍球員的數量，潛在的感染可能很大。

儘管Minecraft有著廣泛的用戶人口範圍，但最大的用戶年齡範圍為15-21歲，佔用戶總數的43%。但是統計數據可能有些不太準確，有些小玩家是假裝成父母或者監護人從而騙取遊戲運營商的信任。 雖然可能是一種滲透攻擊，單很大意義上可能為了娛樂，為了顯擺，腳本小子更常見的心態。

木馬的識別

用戶可以通過多種方式識別威脅。該惡意木馬嵌入在Minecraft網站上提供皮膚包文件中。下面是三個包含惡意軟體的示例。

不是所有的皮膚都有問題，但是如果下載過如下樣式的皮膚，可能已經中標，建議對系統做防病毒掃描。

用戶還可能會在其賬號收件箱中收到一些詭異的消息。一些確定的例子是：

"You Are Nailed, Buy A New Computer This Is A Piece Of Sh*t"

"You have maxed your internet usage for a lifetime"

"Your a** got glued"

相關證據（code）：

其他感染證據包括，由簡單的tourstart.exe進程循環，並因此造成系統性能卡頓或與磁碟格式化有關的告警和錯誤信息。

相關證據（code）：

用戶如何保護自己？

使用防病毒軟體掃描您的計算機將檢測惡意文件，並將檢測到的代碼刪除。有必要某些情況下，重裝遊戲。在更極端的情況下，用戶機器已經感染惡意軟體並且系統文件已被刪除，建議嘗試用系統和數據恢復軟體（final data等）恢復重要的數據。

兄弟"要致富，先擼樹"，擼樹之前要幹嘛？查毒啊！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！