虚假的游戏外挂，真正的木马病毒

炎炎夏日暑假就要到来了，少了老师学校的监管，摆脱“三点一线”的生活方式，学生们纷纷放飞自我，开玩自身的freestyle。在《绝地求生》中宣泄怒火，开黑《王者荣耀》坑队友，剑舞《阴阳师》智斗魑魅魍魉……沉溺在手游“迷梦”中的孩子们玩得不亦乐乎。

对于资深游戏迷来说，“外挂”这个词一定不陌生。尽管面临被封号的危险，但仍有部分游戏玩家玩儿游戏喜欢到处找外挂或游戏辅助工具，而病毒传播者往往利用游戏玩家这一点传播木马病毒，专门用来游戏盗号、窃取隐私，甚至远程控制。

基于JavaScript的木马

最近，研究人员发现了一种新的基于JavaScript的模块化下载程序特洛伊木马，并通过其开发人员拥有的网站以游戏外挂的形式分发给目标。

该恶意木马是由Yandex发现的，随后将其发送给Doctor Web的研究团队进行进一步分析，并提供了有关如何分发该特洛伊木马样本的其他信息。研究人员发现，这个被称为MonsterInstall的特洛伊木马程序使用Node.js在受害者的机器上执行命令。

“当用户试图下载这个外挂时，他们会将一个受密码保护的7zip存档下载到他们的计算机上，里面有一个可执行文件。一旦启动，将下载该外挂以及其他木马组件，”Doctor Web表示。

渗透系统，收集信息

启动后，MonsterInstall下载程序木马通过将自身添加到受感染计算机的自动运行来获得持久性，以便在重新启动计算机后也能自动启动。

随后，MonsterInstall将开始收集系统信息并将其发送到其命令和控制（C＆C）服务器。“作为回应，它接收到特洛伊木马工作程序和更新程序模块的链接，解压缩并将它们安装到系统中。”

游戏外挂大多“有毒”

游戏向来是不法分子发动网络攻击的重灾地，伴随着各类游戏的火爆，不法分子也进一步精确攻击对象。其实外挂本身是通过更改游戏数据的方式实现外挂作用的，所以外挂本身就是一种病毒，自然会被识别成病毒。惟一的方法是在使用外挂的时候关闭杀毒软件。但不可否认现在外挂带病毒的现象十分普遍，关闭了杀毒软件就更容易中毒了。

例如，2017年6月2日，就有消息爆料了一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒。该勒索病毒被安装进手机后，会对手机中照片、下载、云盘等目录下的个人文件进行加密，并索要赎金。据了解，该勒索病毒是国内第一款文件加密型勒索病毒，有爆发迹象，会威胁几乎所有安卓平台的手机。用户一旦中招，可能丢失所有个人信息。

据称，该勒索病毒伪装成当下最热门的手游《王者荣耀》辅助外挂来诱惑用户下载和安装，并通过PC端和手机端的社交平台、游戏群等渠道进行传播扩散。其在界面上高仿电脑版的“永恒之蓝”勒索病毒，功能和电脑版一致。软件运行后，用户的桌面壁纸、软件名称和图标会被篡改。如果用户三天内不解密，赎金将翻倍。一周不解密，手机中所有文件将被删除。