近期，火绒安全团队接到用户反馈称，发现一个后台程序会占用大量CPU资源，随后，火绒安全团队溯源查明，该病毒源自BitTorrent索引站中的日本色情游戏，病毒作者采用“白加黑”手段，使游戏在启动时加载恶意模块。该恶意模块会依次检测虚拟机和逆向工具，最终通过创建傀儡进程注入挖矿木马以实施挖矿操作。该挖矿木马借助XMRig工具连接私人矿池，并通过计算RandomX哈希值来提供算力。在挖矿期间，该模块会长时间占用CPU性能和内存资源。若检测到任务管理器运行，挖矿行为将自动停止。目前，火绒安全产品可对上述木马进行拦截和查杀。查杀图下图显示，2025年12月18日，用户hentaigames**于Tokyo Toshokan BitTorrent索引站发布了该游戏的种子。此后，自2025年12月20日起，该种子内的游戏文件陆续被其他色情游戏论坛转载分享。另外，从用户hentaigames**所发布的游戏中随机选取4款进行测试，发现其中3款游戏存在挖矿病毒。基于此，推测该用户为病毒作者，而其他规模不一的色情游戏论坛仅起到传播作用。Tokyo Toshokan BitTorrent 索引站大小论坛分享该游戏论坛分享游戏的大小与 BT 种子索引站中的大小相近下图显示，从BT种子索引站与论坛下载的压缩包都存在病毒文件version.dll，对比图左侧为论坛中下载，右侧为BT种子索引站下载。BT 种子索引站与论坛下载的压缩包内含文件对比图经实测发现，该挖矿病毒会占用6%CPU性能与2GB左右内存用于计算哈希。实测 CPU 与内存占用一、样本分析溯源发现其中被动手脚的恶意动态链接库名有 version.dll、cryptbase.dll、libEGL.dll 等，在不同游戏中会选取其中一种执行恶意代码。其中 version.dll 为释放器、cacheapp64.exe 为注入器，最终目的为注入挖矿木马，期间会检测虚拟机、沙箱、杀毒软件等环境。而挖矿木马会连接私人矿池，接收矿池下发的任务（job）并计算哈希给矿池提供算力。流程图下面主要分析名为 version.dll 的恶意动态链接库。1.1 version.dll（释放器）version.dll 被 Kaiju Princess 2.exe 加载：游戏主程序为 Kaiju Princess 2.exe，该主程序会依赖 UnityPlayer.dll 动态链接库，该动态链接库会依赖 VERSION.dll，从而加载第一个恶意文件 version.dll。该 version.dll 文件本该是 Windows 提供的 C:WindowsSystem32version.dll 文件，然而该病毒作者将插入了恶意代码的 version.dll 放在游戏目录下，从而使程序优先加载同目录下文件。互斥体：该程序先通过互斥体（GlobalDECOY_MUTEtgtggttgX）保证单实例运行，并创建新线程继续执行恶意代码。互斥体与创建线程检测 TPM（可信平台模块）：打开 TPM 设备确认是否为真机。打开 TPM 设备随后休眠 1~3 秒，随后删除 CSIDL_APPDATAMicrosoft\servicing64\rescache\pcuapp64.exe，创建 CSIDL_LOCAL_APPDATAsyscacheapp 目录。检查文件 cacheapp64.exe（注入器）：随后开始检查 cacheapp64.exe 文件是否存在，并且检查其是否大于或等于750MB，同时检查是否存在cacheapp64.exe的自启动项等情况。若其中任意一项不满足条件，则会继续执行。释放注入器前的逻辑特征定位与解密：随后遍历主游戏程序同目录并找出 *.pak 文件，通过特征码 -starttextures 与 -endtextures 定位 Base64 数据之后进行提取，Base64 解码后利用 RC4 流密码算法进行异或解密，其中密钥为 12345678901234567890123456789012。随机填充：随后会解密出 cacheapp64.exe 程序，还会往里面再次填充 750MB 减去当前 cacheapp64.exe 程序大小的随机数据，从而使最终文件大小来到 750MB。通过特征码定位解密和随机写入填充RC4 流密码算法设置持久化：随后创建注册表 HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell 键值对，设置值为 explorer.exe, C:UsersAdministratorAppDataLocalsyscacheappcacheapp64.exe，从而完成持久化，使用户每次登录都会执行一次 cacheapp64.exe。设置持久化特征定位与解密解压正常文件用于混淆视线：随后再通过特征码 `--_ST_Z--` 与 `--_EN_Z--` 定位 Base64 数据并解码，随后通过 RC4 算法（相同密钥）进行解密出压缩包数据后写入到 C:UsersAdministratorAppDataLocalsyscacheappappsid64.zip 中，随后将其解压，利用大量正常文件掩盖恶意文件 cacheapp64.exe。混淆视线检测杀毒软件并执行：随后检测杀毒软件 Avast 相关进程是否存在，若不存在则休眠 25~30 秒后利用 ShellExecuteExW 执行 cacheapp64.exe。检测杀毒软件并执行1.2 cacheapp64.exe（注入器）互斥体：创建互斥体 `Global\F4B8C7F7-9A21-4b0b-B838-D9F3A7B1234E` 防止同时多进程运行，检测 TPM 设备存在。检查调试环境和工具：利用 IsDebuggerPresent 检测是否在调试，并检查是否存在 IDA、XDBG、WireShark 等逆向工具进程。互斥体、检测 TPM、检测调试检测调试进程调试进程名列表判断沙箱环境：随后，借助 NtDelayExecution 函数进行 10 秒的休眠操作。同时，通过两次调用 GetTickCount64 函数并计算其差值，以此判断该差值是否大于 9 毫秒，进而判定是否存在加速情况（此为对沙箱环境的判断）。不过，此处的 9 毫秒推测为编写错误，正常情况下应为 9000 毫秒。检测沙箱环境防止文件过大：利用 GetFileSizeEx 获取文件大小，并判断是否大于 813 MB，若大于则直接退出进程。检测文件大小检测虚拟机：随后利用 GetRawInputDeviceInfoW 检测是否有 VID_80EE 或 PNP0F03 字符串，分别代表 VirtualBox 与 PS/2 老式鼠标设备名。检测虚拟机随后利用 EnumDeviceDrivers 遍历驱动，检测是否存在 VBoxSF、VBoxGuest、VBoxMouse、VBoxWddm 等驱动，若存在则说明该环境为 VirtualBox 虚拟机。检测 VirtualBox 虚拟机利用 WNetEnumResourceA 遍历网络资源，检测是否存在 VirtualBox Shared Folders。检测 VirtualBox 虚拟机通过指定动态库文件存在情况判断当前环境：搜索 C:WindowsSystem32 目录下是否存在包含以下字符串的文件，主要是 Sandboxie、Avast、VirtualBox 相关软件，从而判断是否存在沙箱、杀毒软件，是否在虚拟机环境中。检测电池状态：通过 NtPowerInformation 获取系统电源信息，检查系统休眠文件存在、是否指定系统电源状态。继续休眠三十秒，期间每间隔五千毫秒会中断一次，但最终仍会完成三十秒的休眠时长。推测此举是为了反沙箱加速。解密出字符串与 PE 数据：随后运行时通过循环右移、异或、加减取模等算术运算解密出以下不同字符串，以及挖矿木马本体。字符串/数据作用表其中一个字符串解密代码注入挖矿木马部分流程：随后将创建进程并注入挖矿木马，其中并未显式调用API名称，而是采用基于哈希的方式解析出API调用号，并通过该调用号间接完成相关功能调用。该流程中涉及的部分API包括：利用 NtCreateFile、NtSetInformationFile、NtWriteFile、NtCreateSection 将挖矿木马文件创建并标记删除，随后建立映射关系。利用 NtCreateUserProcess、NtMapViewOfSection 创建 cmd.exe 进程并伪造父进程为 explorer.exe，并将挖矿木马 PE 数据映射进 cmd.exe 进程。利用 NtSetContextThread 设置 context，修改入口点与模块基址，从而完成注入操作。注入挖矿木马部分流程1.3 挖矿木马该挖矿木马与注入器类似，正式挖矿之前也会检查沙箱相关模块、TPM 设备等内容，不同的是挖矿木马会实时检测 Taskmgr.exe、ProcessHacker.exe、perfmon.exe、procexp.exe、procexp64.exe 等系统监控相关工具，若检测到上述软件则会停止挖矿，若检测到上述软件关闭则会继续挖矿。检测系统监控