玩黄油中了病毒，但什么叫杀毒软件也是病毒？

我有一位朋友，平时喜欢在赛博烟柳巷里感悟人生真谛。

他的硬盘时刻珍藏着各色黄油资源，闲暇时候也会去网上搜寻新发售的小游戏，属于硬到没边的“第一人称射击大师”。

而如果各位也有这么一位“朋友”，那么接下来的提醒，麻烦各位先替自己的朋友看上一看。

近日，不少从外网游戏网站分享来的黄油资源，普遍被爆出含有病毒，会盗用玩家的电脑进行挖矿。

而根据火绒官方的描述，这些含有病毒的黄油资源，全都来自某个日本种子搜索网站上的同一用户（hentaigames**）。

种子搜索网站及相关发布者（@火绒安全）

这位用户近期分享了一系列免费黄油资源，像是某个“女主是大胃袋怪兽娘”的游戏，以及某个“女主是辣妹，但三条剧情线都被人NTR”的游戏......最后统计是有超过400款游戏因此遭殃。

如果各位对前头的游戏描述有些印象，请自觉对号入座，并及时督促各自的“朋友”排查游戏文件。

有印象的自觉回去督促"朋友"

这些含有病毒的黄油资源，其中被动手脚的文件，大多是libEGL.dll、version.dll、cryptbase.dll等动态链接库。

像是libEGL.dll文件......目前中招的玩家大都表示这文件的大小有525KB，相比正常情况偏大。

除此之外，上述文件的修改时间也明显与其他游戏文件不同，仔细对照基本能发现不对劲。

小黄油的图形渲染文件比大型游戏都大

不过比起这些被动手脚的文件，这次病毒最明显的行为特征，还是会在“C:\Users\用户名\AppData\Local\syscacheapp”目录下生成一个名为“cacheapp64.exe”的文件。

这个文件的作用，就是向用户的个人电脑注入木马病毒。

因此通俗来讲，如果各位想要查看自己有没有中招，最直接的方法就是翻找对应文件夹里有没有这个叫作“cacheapp64.exe”的文件。

要是真的找到了这个文件，大小也在750MB左右，那基本是确诊“电子梅毒”了......

在染上这次的“电子梅毒”后，玩家自身的感受，大概就是觉得自己的电脑有点卡。

要放在平时，大伙可能会怀疑是游戏本身的优化太烂，又或者自家的电脑配置有点低。

但在此时此刻，各位完全不用对自家的硬件性能感到焦虑，因为好消息是：这次电脑的卡顿完全是外在因素。

......然而坏消息是：外在因素是“电子梅毒”正趴在床底下偷用你的电脑。

（病毒会占用6%的CPU性能+2GB左右的内存用于挖矿）

火绒官方的测试数据（@火绒安全）

另外需要注意，这里的病毒虽然会挤占玩家的电脑性能，但任务管理器并没法正常监测到这一情况。

因为这个病毒本身会实时检测任务管理器等工具是否启用，直至发现这些工具已被关闭，才会继续执行挖矿程序。

在这个病毒面前，任务管理器就好比无能的丈夫，只能眼睁睁地看着系统资源被透明人挑逗拨弄。

当然，“查看任务管理器”这一方式对病毒也不是全然没用，至少部分神奇的网友是拿它来屏蔽病毒。

其中的原理非常直接：病毒程序在检测到任务管理器时会停止运行，那我一直开着任务管理器不就好了？

《逆向工程》

不过对于大多数追求稳妥的玩家来说，遇到病毒时还是使用专业的杀毒软件更令人放心。

个人也是建议大伙尽量选择这种方式，上述的花活能少整还是少整。

在这方面，火绒、瑞星和卡巴斯基目前都把这一病毒更新进了病毒库，大伙可以选择这几款软件进行全盘查杀。

至于其他软件，大伙则可以留心一下各自官方论坛，又或者去VirusTotal上查看病毒库更新情况。

那么事件描述到这里，各位应该也是时候回去督促各自的“朋友”进行病毒查杀了。

不过这里还有一个注意点（乐子），就是最近有老哥反映：从网络下载到的火绒杀毒软件，很有可能是木马病毒伪装的。

小黑盒上的吐槽（@周铁男是我）

只能说古时候的“华容道”小故事，直至今天依然属于热门题材。

你以为你发现了黄油中隐藏的病毒陷阱，实际上这不过是落入另一个陷阱的前置条件。

曹操要是活在当今时代，可能也不得不感慨一句“沟槽的华容道还**在追我”。

“我笑那毒黄油无谋、假火绒少智”

根据目前网络上的信息，假火绒网站的域名是“.com”，真正的火绒官网则是“.cn”。

假火绒网站还会在名称上特地标注“官网”之类的字眼，因此相较于真正的官网，无疑有种画蛇添足的感觉，大伙可以依此进行识别。

除此之外，识别假火绒官网的方式，也可以是它所提供下载的文件。

在假火绒的网站上，大伙能下载到的是一个压缩包，而非直接的exe可执行文件。

假火绒下载的是一个压缩包（@Z极客）

在这一压缩包被解压之后，文件图标也和正版火绒程序有明显差异：有时候它是套用其他软件的图标，有时候他则是套用安装好后的火绒图标。

所以相较于被掺了病毒的黄油资源，这里的假火绒还是比较容易避开的，大家只要对正版火绒的网址及安装程序有所了解，基本就不会掉进坑里。

并且假火绒的网站也已经被主流杀毒软件标记，各位在收到相关提醒的时候，也请理解一下：这真不是其他杀毒软件在搞同行霸凌！这真的是木马网站！

这真的不是同行霸凌

最后，由于咱们当前的时间点离春节也就一个多月，平时的周末也会忍不住进行一些娱乐放松，所以还是再次提醒各位小心各种赛博骗局。

毕竟就如今的网络环境来说，哪怕是下个Chrome浏览器，也可能下成Chromee浏览器。

而Steam上的免费入库游戏，之前也有《PirateFi》这个暗藏木马病毒的例子。更别说在4个月前，还有患癌主播被《BlockBlasters》这游戏盗取了3.2万美元筹款。

只能说赛博烟柳巷固然很魔幻，但正常的游戏里也未必没有比这更魔幻的情况。

平时的咱们虽然老是吐槽自家长辈，老是喜欢往家庭群里转发各种浮夸的反诈文章，但如果真牵扯到咱们在乎的东西，咱们或许也不比老一辈们好到哪里去。

......希望在五年后，往家族群里转发各种反诈文章的，不会变成我自己。

图源@火绒安全

将我们设为星标☆，点亮爱心

就可以及时看到文章和资讯啦

感谢大家的支持！