本文將從 PrismLauncher (下簡(jiǎn)稱 PL)給出的文章中進(jìn)行觀點(diǎn)提煉和進(jìn)行解釋,希望給大家更細(xì)致的理解.

首先給出 PL 的原文?https://prismlauncher.org/news/cf-compromised-alert/

我中毒了嗎?

這想必是大家 10 分甚至 9 分關(guān)心的事情. 根據(jù) PL 的的公告和分析報(bào)告,我們應(yīng)當(dāng)關(guān)心下面幾個(gè)要點(diǎn).

目前殺毒軟件還檢測(cè)不出

手工檢查

需要注意目前的路徑只是根據(jù)受害者的反饋得出的,不排除病毒未來(lái)會(huì)更新的可能性.

Linux 用戶:

• ~/.config/systemd/user?中檢查?systemd-utility.service

• /etc/systemd/system/?中檢查?systemd-utility.service

• ~/.config/.data?中檢查?lib.jar

Windows 用戶:

• %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar

• ~\AppData\Local\Microsoft Edge\libWebGL64.jar

需要注意的是,這里是一個(gè)?帶空格?的?Microsoft Edge?文件夾.

Windows 用戶還需要檢查自動(dòng)啟動(dòng),這是常見(jiàn)的保活方式.

• 在注冊(cè)表中檢查?HKCU:\Software\Microsoft\Windows\CurrentVersion\Run

• 檢查?%appdata%\Microsoft\Windows\「開(kāi)始」菜單\程序\啟動(dòng)?中的快捷方式. (譯者注: 在 Windows 高版本中也有可能是其他類似目錄)

如果遇到了文件被 Java 主程序占用而無(wú)法刪除,可以禁用啟動(dòng)項(xiàng).
作者推薦:?https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
(譯者注: 使用國(guó)內(nèi)安全軟件會(huì)更方便)
禁用所有與?libWebGL64.jar?相關(guān)的啟動(dòng)項(xiàng),然后重啟電腦,再次嘗試刪除.

更加粗暴的方法是卸載 Java 并重啟,之后回頭來(lái)刪除這些

其他操作系統(tǒng):

目前來(lái)看不受影響,但同樣不排除未來(lái)會(huì)更新的可能性.

自動(dòng)化檢查

PL 還給出了自動(dòng)檢測(cè)腳本. 鑒于 B 站的屑編輯器是 114 分甚至 514 分的難用.這里留下 PL 給出的一鍵執(zhí)行方案.

注意下載路徑和執(zhí)行的位置

Windows 用戶要從?https://prismlauncher.org/img/news/cf-compromised/check_cf.ps1?下載腳本,然后?powershell -executionpolicy bypass -file "check_cf.ps1"?來(lái)執(zhí)行

Linux 用戶可以

curl -fsSL https://prismlauncher.org/img/news/cf-compromised/check_cf.sh | bash

然后怎么做?

目前來(lái)看這個(gè)病毒可以發(fā)動(dòng) DDoS 攻擊,竊取憑據(jù). 對(duì)于終端用戶來(lái)說(shuō) DDoS 攻擊影響不一定大,所以我們需要考慮憑據(jù)的安全性. 可以做的事情包括但不限于

• 改密碼,改密碼,改密碼 有效且有用的方法要說(shuō)三遍.

• 其他類型的憑據(jù)可以更換就更換

• 因?yàn)椴《疽部赡芨`取虛擬貨幣相關(guān)信息,必要時(shí)生成新的私鑰/助記詞并轉(zhuǎn)移資金

服務(wù)端用戶應(yīng)當(dāng)假設(shè)全服務(wù)器的相關(guān)憑據(jù)皆泄漏,并采取更高措施來(lái)應(yīng)對(duì).

目前可以通過(guò)以下辦法切斷病毒的遠(yuǎn)程連接

在 hosts 中加入?0.0.0.0 files-8ie.pages.dev?進(jìn)行屏蔽. 攔截到?85[.]217[.]144[.]130?的出站連接 (譯者注: 此處使用符號(hào)來(lái)防止被屏蔽,輸入時(shí)應(yīng)當(dāng)去掉).

雜談

這里收集一些社區(qū)觀點(diǎn),供大家參考. 但安全無(wú)小事,不可大意.

在 Linux 上如果使用了 Flatpak 等沙盒技術(shù),文件釋放是可以被防御的.
雖然沙箱逃逸是可能的,但也有的病毒選擇拒絕在沙箱下運(yùn)行以躲避分析.

同時(shí)桌面端 Linux 一般也運(yùn)行在非特權(quán)用戶下,沒(méi)有 root 是寫(xiě)不了系統(tǒng)目錄的.
另外也有人指出放置在用戶目錄下的服務(wù)文件存在錯(cuò)誤導(dǎo)致無(wú)法啟動(dòng),但這不能作為躲過(guò)一劫的理由.

由于硬編碼了下載路徑?~/.config/,在 Flatpak 下運(yùn)行的病毒會(huì)如果沒(méi)有允許 Flatpak 應(yīng)用對(duì)主目錄的訪問(wèn)權(quán)限,則他會(huì)寫(xiě)入 tmpfs 并在應(yīng)用重啟后刪除.

FAQ?

Q: 沒(méi)有受影響 Mod/插件列表?

A: 鑒于 B 站專欄的不可編輯性,這東西還是去 PL 博客看吧,而且截至發(fā)稿 CF 那邊有沒(méi)有把所有受害文件統(tǒng)計(jì)出來(lái)都是一回事.

Q: 最近還能玩 MC 嗎?

A: 最好不要,因?yàn)椴《揪哂邢蚱渌?JAR 插入自身的傳染性. 你也很難保證那數(shù)百個(gè)依賴文件里都沒(méi)事. 如果非得玩,請(qǐng)清理緩存并重新下載所有客戶端