写在前面

这篇文章其实早就该写了,但一直懒。最近刷到又有网友在byrut下载游戏中了同样的毒,觉得还是把自己的经历发出来,给后来人提个醒。

事情发生在去年六月份。那时候正好放暑假,闲着没事就想把以前的老游戏都翻出来玩玩。《星际争霸1重置版》——战网上下的版本汉化不全,网上搜了一圈,都说毛子的byrut网站资源最全。你们也知道,一旦想玩一个游戏,那个劲头上来了,什么风险提示都拦不住。

然后我就点了下载。

一、刚开始真没察觉

游戏下载完安装好,玩了两天一切正常。我当时还跟朋友说:网上那些人真是大惊小怪,我下了也没事啊。

结果第三四天左右,电脑开始有点不对劲了。

最开始只是感觉电脑变慢了。我以为是夏天天热,笔记本散热不行,没太在意。直到有一次我打开任务管理器想看看CPU温度—— 窗口自动关了

我以为自己手误点错了,又打开一次,盯着屏幕看了十几秒,CPU占用率突然从10%跳到90%以上,然后任务管理器再次被关闭。

这时候我才意识到:坏了。

二、真正让我警觉的:杀毒软件打不开了

电脑变慢、任务管理器被关,这些虽然奇怪,但我一开始还没往病毒那方面想。真正让我警觉的是另一件事。

我想着既然电脑不对劲,那就用杀毒软件扫一遍吧。结果——

联想电脑管家打不开了。

双击图标,鼠标转两圈,然后没反应。再双击,还是没反应。重启电脑,再试,依然打不开。我又试了试Windows Defender,发现也打不开。就好像杀毒软件的核心组件被什么东西掐住了一样。

到这一步,我才真正意识到:这绝对不是普通的卡顿,肯定是中病毒了。而且这个病毒有点东西——它会主动干掉杀毒软件。

三、上网一搜,发现不是我一个人

我拿手机(因为电脑上任务管理器随时会被关)搜了一下这些症状,结果发现根本不是个案。

好多人都在说byrut下载游戏会中一个挖矿病毒,伪装成声卡驱动。具体表现就是:CPU无故飙高、任务管理器被关、ProgramData文件夹打不开、杀毒软件直接失效。

还有人分享了自己手动查杀的完整过程。我越看越觉得,说的就是我。

四、试着自己动手,然后放弃了

根据网上查到的信息,这个病毒大概藏在两个地方:

  • 藏身点: C:\ProgramData\RealtekHD (Realtek是声卡品牌,所以很多人以为是正常文件)

  • 运行点: C:\Windows\Temp 或用户的临时文件夹

它的运行机制是这样的:开机时,藏在ProgramData里的恶意程序会先启动,然后在临时文件夹里生成真正的挖矿程序。挖矿程序用完就删,但下次重启又会重新生成——所以普通杀软根本扫不干净。

知道病毒大概在哪之后,我也想过自己手动清理。

但问题来了—— 我根本打不开ProgramData这个文件夹

试了各种办法:用管理员权限打开、进安全模式、用命令行访问……全都不行。只要一碰那个文件夹,资源管理器窗口就立刻被关掉。

我知道可以用U盘做个PE系统进去删,但手头没U盘,而且说实话不太敢操作,怕把系统搞崩了。毕竟电脑里存了不少东西,重装系统太折腾。

纠结了两天,最后还是放弃了手动这条路。

五、没办法,请了360这尊大神

在网上继续翻帖子的时候,发现一个有意思的现象:很多被其他杀软干掉的病毒,360却能识别出来。有人分析说可能是因为360的驱动层对抗能力比较强,能在病毒的控制下“抢”到执行权限。

我当时犹豫了很久。360这玩意儿,装了容易卸干净难,这点大家都懂。但眼下实在没别的办法了,只能赌一把。

下载、安装、断网(防止病毒联网对抗)、全盘扫描——整个过程也就半个多小时。360最后报了一堆威胁,全都在 ProgramData\RealtekHD 和临时文件夹里。点击隔离,重启电脑。

好了。

文件夹能打开了,CPU恢复正常,任务管理器也不自己关了,杀毒软件也能正常打开了。

六、怎么把360“请走”

病毒清完了,接下来就是怎么把360卸干净。

我不用它自带的卸载程序,那个卸不干净,会留一堆垃圾。我用的是 Geek Uninstaller (一个小工具,官网有便携版,不用安装)。

操作很简单:

  1. 打开Geek,找到360安全卫士,双击卸载。

  2. 它会调用360官方的卸载程序,正常走流程,记得在最后勾选“删除所有配置和文件”。

  3. 官方卸载完成后,Geek会自动扫描残留的文件夹和注册表,点“完成”全部清掉。

  4. 重启电脑。

重启后我去 C:\Program Files (x86) 看了一眼,360的文件夹已经没了。又用CCleaner扫了一遍注册表,没发现问题。算是卸干净了。

七、事后复盘:我对这个病毒的理解

现在回过头来看,这个病毒之所以难缠,主要是因为它用了几种比较典型的手段:

第一,进程伪装。
它用的进程名 audiodg.exe taskhost.exe ,都是Windows系统里本来就存在的。一般人看到这两个名字,根本不会怀疑。唯一的破绽是路径——正常的在 C:\Windows\System32 ,病毒的在ProgramData或Temp里。但谁会闲着没事去查这个?

第二,文件寄生。
它没有把自己写成一个孤立的exe文件,而是寄生在声卡相关的目录里。很多人觉得Realtek是正经驱动,不敢乱删,这就给它打了掩护。

第三,主动防御。
这个病毒会监控你有没有打开任务管理器、Process Explorer这类工具。一旦发现,立刻降低CPU占用率,过几秒再把这些工具关掉。这就是为什么你永远抓不到它现行——它比你快一步。

第四,杀软屏蔽。
我当时一直没搞明白为什么杀毒软件会直接打不开。后来看分析说,这个病毒会修改系统的一些底层设置,把主流杀毒软件加到某种“黑名单”里。不是杀软不好用,而是病毒先动手把它干掉了。

第五,循环再生。
这是最恶心的一点。就算你手动删掉了临时文件夹里的挖矿程序,只要藏在ProgramData里的那个母体还在,下次重启它又会生成一个新的。所以普通杀软扫一遍,可能只扫到了临时文件,真正的根源根本没碰。

八、给后来人的几点建议

  1. byrut这个网站,能不碰就别碰。 不是说里面所有资源都有毒,但中招的概率确实不低。我后来跟几个朋友聊,发现好几个人都在这个网站下载过带毒的游戏。

  2. 如果杀毒软件突然打不开了,要警惕。 这不是什么“系统小故障”,很可能是病毒在动手。

  3. 如果中招了,先别急着重装。 手动查杀确实有门槛,但可以试试360这种“重型武器”,用完再卸。虽然麻烦点,但比重装系统省事。

  4. Geek Uninstaller这类工具建议备一个。 对付那些“请神容易送神难”的软件,它比系统自带的卸载好用多了。

  5. 平时可以偶尔看看任务管理器。 了解一下正常情况下各进程的占用情况,这样出现异常时才能第一时间发现。

九、写在最后

现在我的电脑早就恢复正常了,星际争霸也换成了战网版。回想去年六月份那几天,对着电脑屏幕一脸懵的样子,还是挺好笑的。

如果你也在byrut下过游戏,最近电脑有点不对劲,建议赶紧检查一下。如果已经中招了,希望这篇文章能帮你少走点弯路。

有问题可以评论区交流,我看到会回。但我也不是什么技术大神,太专业的问题可能帮不上,大家互相讨论吧。

参考过的文章 (当时搜资料看到的):

  • CSDN @weixin_61738543:《挖矿病毒audiodg.exe\taskhost.exe溯源与手动查杀方法》