根据Avast数据近30天的数据，近50000个Minecraft用户感染恶意木马，这些木马的源码显示，主要恶意行为有格式化硬盘、删除备份数据和系统程序等恶意操作。

Avast威胁情报实验室的研究人员发现，恶意的木马是用windows Powershell脚本编写，通过嵌入Minecraft“皮肤”包PNG文件，和免费共享的换肤包被一起分发，用户下载皮肤包，木马被一起下载到本地。

换肤是功能是Minecraft玩家修改头像，自定义角色外观，被广泛使用的功能。有大量的皮肤包被共享在互联网上以供下载，包括官方Minecraft网站以及其他游戏资源下载站。

被注入的恶意代码截图：

代码写的很烂，好像是某脚本本小子通过，网上搜索一步一步病毒系列中直接ctrl+c，ctrl+v过去，代码至今能在网上搜索的到。尽管代码写的很业余，但是完全不妨碍他的破坏力。主要的问题为什么Minecraft共享站点没有检测到这个目录，hi专业的网络犯罪分子是公平的，但更重要的是为什么感染的皮肤可以合法地上传到Minecraft网站，官方文件检测系统没有检测到？。

目前已经联系到了Minecraft的创建人Mojang，他们正在努力修复这个漏洞。

为什么选择Minecraft？

截至2018年1月， 我的世界（Minecraft）在全球有7400万玩家在撸，同比增长近2000万。但是，只有非常比例的用户会下载换肤包，修改皮肤。绝大多数玩家都使用Minecraft提供的默认版本。这就是为啥木马感染不多的原因。尽管数量较少，但鉴于全球活跃球员的数量，潜在的感染可能很大。

尽管Minecraft有着广泛的用户人口范围，但最大的用户年龄范围为15-21岁，占用户总数的43%。但是统计数据可能有些不太准确，有些小玩家是假装成父母或者监护人从而骗取游戏运营商的信任。 虽然可能是一种渗透攻击，单很大意义上可能为了娱乐，为了显摆，脚本小子更常见的心态。

木马的识别

用户可以通过多种方式识别威胁。该恶意木马嵌入在Minecraft网站上提供皮肤包文件中。下面是三个包含恶意软件的示例。

不是所有的皮肤都有问题，但是如果下载过如下样式的皮肤，可能已经中标，建议对系统做防病毒扫描。

用户还可能会在其账号收件箱中收到一些诡异的消息。一些确定的例子是：

 “You AreNailed, Buy A New Computer This Is A Piece Of Sh*t”

“You have maxed your internet usage for a lifetime”

“Your a** got glued”

相关证据（code）：

其他感染证据包括，由简单的tourstart.exe进程循环，并因此造成系统性能卡顿或与磁盘格式化有关的告警和错误信息。

相关证据（code）：

用户如何保护自己？

使用防病毒软件扫描您的计算机将检测恶意文件，并将检测到的代码删除。有必要某些情况下，重装游戏。在更极端的情况下，用户机器已经感染恶意软件并且系统文件已被删除，建议尝试用系统和数据恢复软件（final data等）恢复重要的数据。

兄弟“要致富，先撸树”，撸树之前要干嘛？

查毒啊，笨！