设为首页收藏本站
开启辅助访问
【安全警告】大量 MC Mod、整合包、服务器插件遭到蠕虫病毒投放,请保持警惕! 您所在的位置:网站首页 bilibili为什么没有电脑 【安全警告】大量 MC Mod、整合包、服务器插件遭到蠕虫病毒投放,请保持警惕!

【安全警告】大量 MC Mod、整合包、服务器插件遭到蠕虫病毒投放,请保持警惕!

2023-06-16 17:42| 来源: 网络整理| 查看: 265

事件概述

这是一次专门针对 Minecraft Mod 圈的攻击。至少从 5 月起,CurseForge 中的部分账号被盗,并上传了含有蠕虫病毒的 Mod、整合包、服务器插件。受影响的至少包括 Better MC 系列整合包、地牢崛起之时(When Dungeons Arise)等数十个 Mod、服务器插件,以及使用了这些 Mod 的整合包。

该病毒会尝试:盗取 MC、Steam 等账号,盗取浏览器登录信息,并感染电脑中的所有 jar 文件(包括 MC、Mod、服务器插件以及绝大多数 Java 程序),这将导致病毒扩散到更多的 Mod 与整合包中。

这场攻击可能早在 4 月就已经开始了,但直到 6 月 7 日才被发现。目前各大 Mod 网站已完成了病毒清理工作,主流杀毒软件已支持查杀该病毒,且病毒服务器和域名均已被举报下线。可以几乎确定,该病毒已经失去了传播和发作能力。

因此,大家可以该干啥干啥了,事情已经大致结束了!

我应该怎么做?

虽然目前病毒已经失去了发作能力,但如果你真的就贼担心自己已被感染,可以运行 CurseForge 官方发布的检测工具:

下载 1:https://ltcat.lanzoum.com/inF7F0ykhh3c

下载 2:https://pan.baidu.com/s/1h-k39O1qAvySMTjUVaQzyQ?pwd=5yix

如果出现下图的提示,则代表该病毒没有在你的电脑上运行过,你现在是安全的!

如果检测工具真就发现了病毒,我个人建议按照以下方式处理:

按照 https://github.com/fractureiser-investigation/fractureiser/blob/main/docs/users.md 的说明删除运行中的病毒

使用杀毒软件进行全盘查杀

修改你在这台电脑上登录过的 所有账号 的密码,并尽量开启二步验证:不仅限于 MC 账号,它还会窃取你在浏览器中的登录凭证,Steam、Epic 账号等

删除电脑上的 所有 .jar 文件,你可以全盘搜索 .jar 来删除它们,它们全部都被感染了

 

 

细节与技术信息

如果你只是普通玩家,在按照上述说明检查之后就没有什么好担心的了。以下是事件的部分细节,如果想吃瓜可以继续阅读。

 

被植入恶意代码的 Mod、整合包有:Better MC 整合包系列、When Dungeons Arise、Sky Villages、DungeonX、Skyblock Core、Vault Integrations、AutoBroadcast、Museum Curator Advanced、Vault Integrations (Bug Fix)、Golem Awakening、Phanerozoic Worlds、Museum Curator Advanced、More and Ore advanced、Just Enough Ingots、Create: Diesel and Oil Generators、Ultra Swords Mod 等等。

被植入恶意代码的 Bukkit 插件至少有:Display Entity Editor、Haven Elytra、The Nexus Event Custom Entity Editor、Simple Harvesting、MCBounties、Easy Custom Foods、Anti Command Spam Bungeecord Support、Ultimate Leveling、Anti Redstone Crash、Hydration、Fragment Permission Plugin、No VPN、Ultimate Titles Animations Gradient RGB、Floating Damage 等等。

 

被植入到 Mod、插件里的恶意代码运行时,它会先尝试从服务器下载真正的恶意软件文件然后运行,该恶意软件可能至少执行了以下行为:

让自身在开机时启动,添加运行保护

窃取 微软账户(含 MC 正版)、Discord、Steam、Epic、加密货币钱包 的登录凭据

窃取浏览器 Cookie 和登录信息(包含浏览器保存的所有密码)

下载其他病毒程序

允许远程执行 DDoS 操作(肉鸡)、执行任意脚本命令

在整个电脑上查找任意 jar 文件(包括 Minecraft 核心文件、Mod 文件、服务器插件,以及常规的 Java 程序),并将最初的恶意代码植入进去,以进行感染和传播

由于上述操作没有任何能被直接观察到的要素,所以受害者几乎无法发现自己已被感染。而当 被感染者 将自己的 MC 客户端或者 Mod 文件发给他人的时候,恶意代码也会因此被扩散。这可能导致更大面积的传播,所以受影响的并不止前文列表中的那些 Mod 和插件。

目前各大 Mod 网站已完成了病毒清理工作,主流杀毒软件已支持查杀该病毒,且病毒服务器和域名均已被举报下线。可以几乎确定,该病毒已经失去了传播和发作能力。

 

 

引用

详细情况:https://github.com/fractureiser-investigation/fractureiser

Prism 启动器公告:https://prismlauncher.org/news/cf-compromised-alert

 



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有