BT索引站藏陷阱！私人矿池借色情游戏偷算力

近期，火绒安全团队接到用户反馈称，发现一个后台程序会占用大量CPU资源，随后，火绒安全团队溯源查明，该病毒源自BitTorrent索引站中的日本色情游戏，病毒作者采用“白加黑”手段，使游戏在启动时加载恶意模块。该恶意模块会依次检测虚拟机和逆向工具，最终通过创建傀儡进程注入挖矿木马以实施挖矿操作。该挖矿木马借助XMRig工具连接私人矿池，并通过计算RandomX哈希值来提供算力。在挖矿期间，该模块会长时间占用CPU性能和内存资源。若检测到任务管理器运行，挖矿行为将自动停止。目前，火绒安全产品可对上述木马进行拦截和查杀。

下图显示，2025年12月18日，用户hentaigames**于Tokyo Toshokan BitTorrent索引站发布了该游戏的种子。此后，自2025年12月20日起，该种子内的游戏文件陆续被其他色情游戏论坛转载分享。另外，从用户hentaigames**所发布的游戏中随机选取4款进行测试，发现其中3款游戏存在挖矿病毒。基于此，推测该用户为病毒作者，而其他规模不一的色情游戏论坛仅起到传播作用。

下图显示，从BT种子索引站与论坛下载的压缩包都存在病毒文件version.dll，对比图左侧为论坛中下载，右侧为BT种子索引站下载。

经实测发现，该挖矿病毒会占用6%CPU性能与2GB左右内存用于计算哈希。

简言之，挖矿木马大致传播路线如下☟

溯源发现其中被动手脚的恶意动态链接库名有version.dll、cryptbase.dll、libEGL.dll 等，在不同游戏中会选取其中一种执行恶意代码。

其中version.dll为释放器、cacheapp64.exe为注入器，最终目的为注入挖矿木马，期间会检测虚拟机、沙箱、杀毒软件等环境。而挖矿木马会连接私人矿池，接收矿池下发的任务（job）并计算哈希给矿池提供算力。

下面主要分析名为 version.dll 的恶意动态链接库。

version.dll被Kaiju Princess 2.exe加载：游戏主程序为Kaiju Princess 2.exe，该主程序会依赖UnityPlayer.dll动态链接库，该动态链接库会依赖 VERSION.dll，从而加载第一个恶意文件version.dll。

该version.dll文件本该是Windows提供的C:WindowsSystem32version.dll 文件，然而该病毒作者将插入了恶意代码的 version.dll 放在游戏目录下，从而使程序优先加载同目录下文件。

互斥体：该程序先通过互斥体（GlobalDECOY_MUTEtgtggttgX）保证单实例运行，并创建新线程继续执行恶意代码。

检测TPM（可信平台模块）：打开TPM设备确认是否为真机。

随后休眠1~3秒，随后删除 CSIDL_APPDATAMicrosoft\servicing64\rescache\pcuapp64.exe，创建 CSIDL_LOCAL_APPDATAsyscacheapp 目录。

检查文件 cacheapp64.exe（注入器）：随后开始检查 cacheapp64.exe 文件是否存在，并且检查其是否大于或等于750MB，同时检查是否存在cacheapp64.exe的自启动项等情况。若其中任意一项不满足条件，则会继续执行。

特征定位与解密：随后遍历主游戏程序同目录并找出 *.pak文件，通过特征码-starttextures与-endtextures定位Base64数据之后进行提取，Base64解码后利用RC4流密码算法进行异或解密，其中密钥为 12345678901234567890123456789012。

随机填充：随后会解密出cacheapp64.exe程序，还会往里面再次填充 750MB减去当前cacheapp64.exe程序大小的随机数据，从而使最终文件大小来到750MB。

设置持久化：随后创建注册表HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell 键值对，设置值为explorer.exe, C:UsersAdministratorAppDataLocalsyscacheappcacheapp64.exe，从而完成持久化，使用户每次登录都会执行一次cacheapp64.exe。

特征定位与解密解压正常文件用于混淆视线：随后再通过特征码 `--_ST_Z--` 与 `--_EN_Z--` 定位 Base64 数据并解码，随后通过RC4算法（相同密钥）进行解密出压缩包数据后写入到C:UsersAdministratorAppDataLocalsyscacheappappsid64.zip 中，随后将其解压，利用大量正常文件掩盖恶意文件cacheapp64.exe。

检测杀毒软件并执行：随后检测杀毒软件Avast相关进程是否存在，若不存在则休眠25~30秒后利用ShellExecuteExW 执行cacheapp64.exe。

互斥体：创建互斥体`Global\F4B8C7F7-9A21-4b0b-B838-D9F3A7B1234E`防止同时多进程运行，检测TPM设备存在。

检查调试环境和工具：利用IsDebuggerPresent检测是否在调试，并检查是否存在IDA、XDBG、WireShark等逆向工具进程。

判断沙箱环境：随后，借助NtDelayExecution函数进行10秒的休眠操作。同时，通过两次调用GetTickCount64函数并计算其差值，以此判断该差值是否大于9毫秒，进而判定是否存在加速情况（此为对沙箱环境的判断）。不过，此处的9毫秒推测为编写错误，正常情况下应为9000毫秒。

防止文件过大：利用GetFileSizeEx获取文件大小，并判断是否大于813 MB，若大于则直接退出进程。

检测虚拟机：随后利用GetRawInputDeviceInfoW检测是否有VID_80EE或PNP0F03字符串，分别代表VirtualBox与PS/2老式鼠标设备名。

随后利用EnumDeviceDrivers遍历驱动，检测是否存在VBoxSF、VBoxGuest、VBoxMouse、VBoxWddm等驱动，若存在则说明该环境为 VirtualBox虚拟机。

利用WNetEnumResourceA遍历网络资源，检测是否存在VirtualBox Shared Folders。

通过指定动态库文件存在情况判断当前环境：搜索C:WindowsSystem32 目录下是否存在包含以下字符串的文件，主要是Sandboxie、Avast、VirtualBox相关软件，从而判断是否存在沙箱、杀毒软件，是否在虚拟机环境中。

检测电池状态：通过 NtPowerInformation 获取系统电源信息，检查系统休眠文件存在、是否指定系统电源状态。

继续休眠三十秒，期间每间隔五千毫秒会中断一次，但最终仍会完成三十秒的休眠时长。推测此举是为了反沙箱加速。

解密出字符串与PE数据：随后运行时通过循环右移、异或、加减取模等算术运算解密出以下不同字符串，以及挖矿木马本体。

注入挖矿木马部分流程：随后将创建进程并注入挖矿木马，其中并未显式调用API名称，而是采用基于哈希的方式解析出API调用号，并通过该调用号间接完成相关功能调用。该流程中涉及的部分API包括：

利用NtCreateFile、NtSetInformationFile、NtWriteFile、NtCreateSection将挖矿木马文件创建并标记删除，随后建立映射关系。

利用NtCreateUserProcess、NtMapViewOfSection创建cmd.exe进程并伪造父进程为explorer.exe，并将挖矿木马PE数据映射进cmd.exe进程。

利用NtSetContextThread设置context，修改入口点与模块基址，从而完成注入操作。

该挖矿木马与注入器类似，正式挖矿之前也会检查沙箱相关模块、TPM 设备等内容，不同的是挖矿木马会实时检测Taskmgr.exe、ProcessHacker.exe、perfmon.exe、procexp.exe、procexp64.exe等系统监控相关工具，若检测到上述软件则会停止挖矿，若检测到上述软件关闭则会继续挖矿。

随后该木马通过请求https://rentrys.co/GzueSqAf/raw 或 https://pastebin.com/raw/WcTE2iw1获取到挖矿配置，其中url键值为矿池IP和端口。

随后，向该url发送登录请求，账号与密码均为x。说明，在登录过程中未设置钱包地址，或者类似于公共矿池，存在独立的账号和密码。基于此，可推测该矿池为私人矿池。

随后矿池开始下发计算哈希的任务，随后计算blob的哈希，利用不同的 nonce来计算，试图让计算出的哈希达到一定的条件target。

随后受害者系统中的挖矿木马会根据下发的任务配置进行RandomX哈希算法碰撞计算，计算出小于target（0x00007fff）的哈希值（00003002），并发送至矿池服务器中，从而给私人矿池提供算力。

切勿触碰安全红线！网络黑产常常利用色情、破解类软件作为载体传播病毒，此类软件背后往往暗挖矿木马、勒索病毒等恶意程序，不仅会侵占设备算力资源、导致硬件损耗加速，还可能窃取用户隐私数据，造成多重安全风险。

目前，元旦、春节等节假日将至，不少用户会选择通过电脑等终端设备进行休闲娱乐，火绒安全在此特别提醒，选择电脑游戏或下载各类软件时，务必通过官方官网、正规应用平台等可信渠道获取，坚决远离来源不明的资源，避免因一时疏忽给恶意程序可乘之机。

如需反馈相关病毒样本，可联系火绒安全官方客服或登录火绒论坛留言，我们将持续跟踪各类新型恶意程序，为用户提供可靠的安全防护保障，守护大家度过一个安全舒心的假期。