在当今信息高速流通、网络技术迅猛发展的时代，恶意软件的传播方式发生了翻天覆地的变化，它们不再仅仅依赖于攻击者主动发起的攻击，还可通过运用社交工程来进行传播，使发布者毫无察觉地成为病毒传播源头，感染者也常在不知情的情况下继续执行感染文件或传播恶意链接，从而助长病毒的蔓延。本文将对这种隐性传播现象及其感染与传播模式做出分析，期望有助于您更好地了解潜在风险。

在恶意软件传播的过程中，盗版游戏、汉化补丁、游戏外挂辅助等工具和软件往往沦为病毒的“帮凶”。首先，盗版游戏因缺乏严格的安全检测，容易成为恶意代码的藏身之所。这些恶意代码可能以多种隐蔽形式存在，比如被篡改的安装程序、捆绑的破解补丁，以及伪装成游戏更新的恶意文件等。其次，汉化补丁虽本身不直接包含恶意软件，但却存在被病毒捆绑的风险，从而使得恶意代码能够借助补丁进行传播。再者，游戏外挂辅助工具虽然能够在一定程度上增强游戏体验，但同时也为黑客提供了可乘之机。黑客可能会通过修改器或外挂，将木马程序或后门代码植入其中。当玩家运行这些外挂工具时，恶意代码便会随之在系统中启动并运行，进而导致病毒进一步扩散。

常见被感染工具与软件

在这些潜在风险中，盗版游戏尤为引人关注。尽管部分用户清楚盗版游戏存在风险，但免费体验和破解功能仍会吸引一些人冒险下载安装。面对杀毒软件发出的安全警告，也可能选择忽略，内心或许抱有“只安装一次，应该没事”或“破解工具能玩到完整版，杀毒软件可能存在误报”等侥幸想法。为了确保盗版游戏或破解工具顺利运行，很多用户甚至主动关闭杀毒软件，这种“功能诱惑”行为大幅提高了计算机被感染的概率，使病毒得以借助网络传播。

同时盗版游戏的传播往往具有大规模的特点，它们可通过社交平台、文件共享、P2P网络等途径迅速扩散。许多玩家在不知情的情况下，将携带病毒的游戏安装包分享给其他人，或者通过社交工具进行传播，从而进一步加剧了病毒的蔓延，引发大规模的安全危机。

近期，火绒威胁情报中心监测到一种感染型病毒，可通过ACG色情类游戏网站进行大规模传播。该病毒通过感染游戏安装包或补丁程序，诱导用户下载并执行。用户下载安装游戏后，病毒便会在后台悄然执行，利用社会工程学手段进一步渗透系统，修改PE可执行文件，并执行恶意代码下载执行，从而实现远程控制、文件感染等多重恶意行为。该病毒传播手段高效，且受害者多为易被误导安装的年轻用户，容易暴露个人隐私信息，该病毒虽然是一个老旧的感染型病毒，但目前仍在广泛传播，对用户设备和信息安全构成严重威胁。火绒安全产品可有效查杀清除该病毒，请广大用户及时进行全盘查杀以提高防御能力。

查杀图

一、溯源分析

在对病毒文件进行深入分析，并借助火绒终端威胁情报系统进行溯源后，我们发现以下文件仍在广泛传播：

• ACG资源发布器.exe（17A8D4AD759D2EF1F9C539C7051645BEFB8112F2）

• Game.exe（F09774149E0BA728C7921FD3713BEC3E1C178E3B）

• 173登录器生成器V22.01.exe（4e8a8a8a9bd5c70e5d33848700c141ca585b5e46）

进一步溯源分析显示，这些文件的来源可追溯至以下网站，并通过这些渠道进行大规模传播。

• www.acgaw.com
  该网站通过发布ACG游戏吸引了大量用户，但其发布的所有游戏均已被感染，下载的所有游戏均带有ACG资源发布器.exe文件（已被感染文件）。目前，该网站的每日活跃用户数已超过上万。为了保障系统安全，我们建议广大用户立即停止从该网站下载任何游戏或程序，以防感染病毒并造成进一步的危害。

ACG传播网站

同时，该网站还存在诱导用户关闭杀毒软件的行为，企图绕过安全防护，从而进一步加剧了感染风险。为了保护您的设备和个人信息安全，请广大用户务必提高警惕，切勿轻信此类诱导，始终保持杀毒软件处于开启状态，并及时进行更新，以增强系统的安全防护能力。

诱导关闭杀软

经过对该网站的溯源分析，我们发现其主站发布ACG游戏（采用付费形式下载），同时关联了多个子站（签到形式下载）进行推广。子站通过提供与主站类似的游戏资源吸引用户访问，从而进一步扩大病毒的传播范围。进一步溯源这些网站后发现，其购买联系方式（Telgram）均为同一个账户，推测该制作者的电脑设备可能已经感染病毒，导致其发布的游戏中被植入恶意软件，进而通过网站传播给大量用户。以下是部分子站链接：

www.acgfby.com

www.acgcys111.com

www.acgyxgw.com

www.acgat.com

www.acgac.com

www.acgiszg.com

www.acgfbt.com

ACG子站

• www.mengzhan13.xyz和kooink.com
  通过火绒终端威胁情报系统的监测，发现部分用户在以下网站下载游戏时也同样感染了该病毒（game.exe）。

色情游戏传播网站

游戏下载站

• 游戏私服（173登录器生成器V22.01.exe）
  部分游戏私服也同样存在被感染的情况。这些私服通过非官方渠道吸引玩家，其服务器在不知不觉中被病毒感染，导致玩家运行游戏客户端时也会被感染。一旦感染，这些私服不仅会窃取玩家的账号信息，还可能将病毒扩散至玩家的设备上，造成更大范围的安全隐患。

游戏私服服务器

二、样本分析

该病毒利用常用工具和破解程序感染用户，随后通过远程服务器控制下载并执行更深层次的恶意代码，同时结合文件感染机制，从而实现大规模扩散。实际上，该病毒样本是一个老旧的感染型病毒，曾在早期的其他传播活动中被使用。由于其技术手段相对成熟且特征明显，我们对其进行了简要分析。

流程图

被感染的样本首先修复原始的入口点，然后通过PEB获取kernel32.dll的基址。

修复EntryPoint

将感染文件主体写入临时目录，并执行该文件。

释放感染主体

接下来对感染文件主体进行分析。

感染文件主体首先会提升权限，然后通过注册表判断是否已经被感染，如果未被感染则开启线程远程下载恶意代码，之后执行感染逻辑，对本机文件进行全盘感染。

主函数

注册表判断

其中配置文件需要解密自身内存，解密算法如下。

解密数据

感染文件首先会创建线程远程下载。

远程下载

之后执行感染逻辑：同样采用创建线程的形式感染全盘文件。

感染文件

判断该文件夹是否存在于已解密的配置文件中。

目录判断

感染逻辑首先会获取文件的路径，检测文件后缀是否是exe或者压缩包文件。

文件类型判断

然后根据shellcode中的特征，对原始的跳转偏移进行修改，以便能够跳回源文件代码继续执行。

特征替换

函数的逻辑主要实现了以下功能：

1.检查目标文件合法性：验证文件是否为PE文件，并确认其无数字签名。

2.感染文件：修改节区表、新增节写入恶意代码（shellcode），并修改入口点。

3.清理资源：处理文件句柄、内存映射，确保资源释放。

感染逻辑

三、附录

C&C：

HASH：

说点大白话：

有的小伙伴表示没有学过计算机知识，看不太懂这篇文章，那么你可以参考如下说明。

在深山的原始森林中，生活着一个部落，部落里的居民想要获得干净的水和食物，需要长途跋涉去寻找。这时，狡诈的商人声称自己拥有大量的免费资源，虽然大部分居民都不相信从天而降的馅饼，但是有一些年轻人不愿再忍受长途跋涉的辛苦，便决定接受商人的“好意”。他们跟随商人来到一个看似资源丰富的地点，却在不知情的情况下使用了这些资源，结果身体出现了不适，甚至有人因此生病。居民们这才发现，所谓的“干净水源”和“充足食物”都隐藏着危险：水源被污染，食物也暗藏毒素，那些看似诱人的资源背后，其实早已被布下陷阱。

“资源丰富的地点”是盗版游戏、汉化补丁、游戏外挂辅助等工具及软件，“毒素”是其中暗藏的感染型病毒。

目前，火绒安全可有效查杀该病毒，彻底清除病毒恶意代码，并还原被感染的游戏文件，恢复其正常功能。您只需使用火绒安全对系统进行全盘扫描，即可快速定位并解决感染问题，避免病毒带来的进一步危害，保障系统安全~

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！