为什么下载的破解游戏经常会被报毒?

那个啥,题主,也许不是没中毒,有可能是你以为没中毒。

前两天跟某网络安全大佬聊天的时候他告诉我一个真实案件,你看看里面有没有自己的影子。

故事是这样的:

(一)网管、大神、摇钱树

杨波有三个身份,网管,大神,摇钱树。

在外人眼中,他只是山东潍坊“时空网咖”的一个小网管,大专毕业后成天只会玩电脑,做生意又不会做,所以只能在网吧打打工维持生活这样子。

可熟悉杨波的人都知道,他是个自学成才的技术牛人,在网上做副业挣的钱比工资高好几倍,留在网咖上班纯粹图个乐子。

杨波的第一个副业是卖会员卡。

一年前,他照着“爱奇艺”的界面编写了一个叫“酷艺VIP影视”的软件,可以任意播放优酷、爱奇艺等各大视频网站的内容。

他以年卡、月卡方式向全国网吧兜售自己的软件,借着“网吧联盟”的便利在全国发展了几十个代理,销路覆盖全国两千多家网吧,一年能卖出五千多张卡,挣个二十来万元不成问题。

杨波的第二个副业是编写游戏外挂。

2017年下半年“吃鸡游戏”大火,他写的外挂不仅功能齐全,更新稳定且更隐蔽,因而成了不良玩家(挂B)口中的“良心软件”。

最关键的是,他的外挂是免费的。

这个策略很好地切中了众多挂B的胃口,外挂传播地相当广,创建了四五个用户群都不够用。

也正因为这个外挂,杨波成了贺强眼中的“摇钱树”。

贺强明面上是大连一家网络广告增值服务公司的老板,其实背地里搞网络黑产,专门用正常的软件带病毒木马来挣钱。

2017年下半年,杨波想给自己的外挂程序挂点广告来挣钱,在“天下网吧论坛”结识了贺强。

贺强告诉杨波,只要他愿意在游戏外挂里捆绑一个叫“58迅推”的软件,按照机器数量抽成,每台机器给5~10元。

杨波当时手里控制着3万多台,算下来能挣二三十万,顶自己卖一年的视频软件VIP卡,他有些心动了。

“我说老弟啊,你手里机器配置都不错,拿来做弹窗广告太浪费,很适合挖矿。”

贺强跟他担保,绝对不影响用户的正常用电脑玩游戏,不容易被发现。

杨波被说动,二人达成一致,杨波成了 “58迅推客户端”的代理商,也成了贺强眼中的摇钱树。

(二)佛系黑产

贺强没骗他,这款“58迅推”既不影响用户正常使用也不容易被发现,讲究得很。

软件会实时监测电脑CPU占用率,当CPU占用率低于50%,挖矿程序就在后台默默启动。一旦用户开始玩游戏,CPU占用超过50%,挖矿程序就自动停止。

和弹窗广告、静默安装等恶意软件相比,这个挖矿软件确实非常“佛系”,用户几乎感受不到任何影响。

不过,我很难用“盗亦有道”来形容它,因为这么做的目的无非是怕被发现。而且即便不影响使用,挖矿也会大幅增加耗电,让机器提前报销,这些成本最终将由电脑拥有者来承担。

为了装上这些挖矿程序,杨波需要对抗杀毒软件。他的方法简单粗暴且有效:直接让受害者主动关掉甚至卸载杀毒软件。

类似方法用在游戏外挂、破解软件、视频软件上屡试不爽。

在一些成人网站里,即便杀毒软件出警告,大多数情况也会被直接无视,或者卸载掉杀毒软件,原因你懂的。(这一度让安全公司很头疼,有种猪队友的感觉)

为了拿到更多抽成,杨波开始四处推广自己的外挂。社区论坛、工会频道、社交群都是不错的传播渠道,由于外挂确实免费又好用,他的生意火爆。

在一个吃鸡游戏的论坛里,杨波发的帖子后面出现了一个“火”的字样,浏览和下载量都过万。

同时,一些不知名的下载站也疯狂地传播这款外挂程序,只要在网上搜索“吃鸡”、“绝地求生”、“辅助”之类的关键词,就会被引导到这些下载站,流量稍微高点的网站就有十多万下载量。

一个又一个群,装不下前来送钱的人们。

至 2017年12月,这款挖矿木马传播量达到高峰,据后来的数据统计,仅当天就有20万台电脑主机受影响。

(三)螳螂捕蝉

看着账上打来的 26.8 万元,杨波心情复杂。

虽然钱不少,可他去查了查当时的币价,发现贺强他们挣的钱比自己多得多。

杨波计上心头,打算来一波黑吃黑。

他对程序进行修改, 内嵌了自己的 HSR 币挖矿代码,被控主机在挖矿时挖到矿币后会自动转到他的 HSR 钱包中 。

一头挣着贺强他们的抽成,一头押着几十万台主机为自己挖 HSR币,舒服得很。

此外,杨波还把自己之前开发的“酷艺VIP影视”也装上了挖矿程序,从而控制更多的主机为其自己“ 挖矿 ”。

在这之后的短短3个月里,杨波如愿以偿挖到了8551 .9枚HSR币。

2017年12月前后,HSR 的价格正好冲到高峰,达到252元/枚,按照当时的币价,杨波手里的币价值 213 万元

一波黑吃黑,让杨波的收益提高了10倍。

不过,此时的他只顾得上高兴,并不知道有一份技术分析报告已经交到警察手里,自己即将面临牢狱之灾。

也不知道这二百多万的币价是否增加了他后来的量刑。

报案的是腾讯守护者计划安全团队。

一个多月前,腾讯电脑管家的安全大脑系统捕获到了一批带有异常行为的程序样本。

研究人员分析后发现, 该程序样本运行后,会进行一遍黑名单检查,如果在主机上存在列表中的程序,就会先提示用户把他们关闭以及卸载。

而这个黑名单里,大部分都是反病毒软件。

名单中不乏我们熟悉的名字:QQpcmgr、360sd、火绒剑、wireshark……

关闭杀毒软件后,该程序会从三台远程服务器上下拉挖矿程序,并设置为开机启动。

这是木马程序最典型的“白加黑”行为,利用一个看似正常的程序来下载激活另一个可疑程序。

经过层层分析,研究人员摸清了这个可疑程序的运作方式,将所有线索以报告的形式呈递到山东潍坊警方。最终,公安机关先是控制了杨波,而后抽调精干力量50余人赶赴大连,将涉嫌非法控制计算机信息系统的贺某、陈某等16人全部抓获。同时,专案组迅速对大连晟平网络科技有限公司的下线进行梳理并展开抓捕:

一个非法控制389万台电脑主机,非法获利1500余万元的团伙就此覆灭,等待他们的将是漫长的牢狱之灾。

故事就是这样,不知道有没有朋友觉得某个情节似曾相识,比如同当过肉鸡之类的。。。