首先声明:本帖不可避免地带有一定主观色彩,由于近期在一些网站观察到的迹象,我在此提出相关建议,本意是希望大家意识到有可疑活动的进行,并在获取同人游戏时尽量多加留意。请注意,我的意思绝不是要论坛禁止发布转载形式的游戏资源,也不是想表达“只有自购游戏才该发布”的意思,抑或是指责任何发布转载游戏资源的坛友。我向各位保证,本人绝无这些意思。虽然我加入sstm的时间才两个月多一点,但相信有些坛友对我的账号也有一点印象。这两个月里,我在同人资源区、汉化资源区和Gal里区都发布过资源帖,其中有自购的,也有转载的。我很清楚,资源发布者发布转载形式的资源是很常有的正常现象,很多人本意是好的,也是希望喜欢的、好的作品能分享给更多同好,这我完全理解。但,不可否认的是,这一圈子里,始终会有人不怀好意地通过资源传播木马病毒。而鉴于前段时间的木马事件,以及近期有迹象表明投毒者还想卷土重来,所以我才在此又写下一个帖子,希望引起大家的足够注意,以及建议大家多加留意,保证获取的同人游戏与Reeffress发布的资源没有任何关联(在证明此人清白之前)
正文
前段时间,同人游戏资源带挖款木马的事情相信很多人都有耳闻,上个月底有坛友开帖提醒了大家,甚至我自己都开了一帖来讨论所谓“正版带毒”的事情。据我观察,这一事件波及的范围还挺广的,甚至直到今天我都能在一些论坛上看到有人说才发现自己电脑中了挖矿木马,而这离投毒者被封禁已经过了3个星期...前阵子,B站上也能看到无关的游戏视频up主来凑热闹说这件事情,隔壁友站也有不止一帖讲这些。事实上,在游戏论坛中,关于这些事件的信息流通并不充分,这也是为什么直到今天都能看到还有人搁那说什么“DL正版带毒”的事情,唔。不多说...那投毒者的事情已经完全过去了吗,我不这么认为,投毒者的旧资源仍在传播,有重新活动的迹象,近期也出现了可疑的资源发布者,所以我有理由认为在知名站点流通的资源里投毒风险仍然存在且不可忽视。
火绒安全的那篇文章告诉我们什么?
上波挖矿木马事件,一般认为是中文社群的反应速度快于外国社区,我自己没有中过挖矿木马,也没碰过被投毒者传上来的游戏,据我的印象,中文论坛里有人大量提及病毒的存在,大约是在12月下旬,即20号-28号的时候,游戏社群有人提到了木马活动的可疑迹象,引起重视,转载者意识到后自发换源并开帖告示,还通过社区的共同努力追溯到了病毒来源——投毒者的账号,于是AS论坛在接到举报后封了jekson5865。事后能知道,以AS发帖纪录作为参考,jekson5865最早是12月10日发布资源,等到它被举报时,木马已经完成了大范围传播,造成了恶劣的影响,此事的教训是,有苗头就该及早掐灭,若等到安全软件由于社区的大量举报而识别出木马时,那就太晚了。很明显,上波投毒事件证明jekson5865绝不是什么三脚猫病毒作者,它是有能力、也有决心搞事的。从火绒安全的文章,大家也能看出它搞出的木马不是那种可以被随便扫出来的东西。
文章里提到了在Tokyo Toshokan传播带毒资源的账号——hentaigames36以及木马的运行机制和原理,若用hentaigames36去Tokyo Toshokan检索,可以发现此人碰过的游戏资源远远不止论坛帖子里(包括我的)提到的那几十款,也并非只有AS公告里提到的那些,网上流传的那些南加论坛上的截图也没有涵盖所有涉及的同人游戏,hentaigames36在TT上发布的资源文件数量高达三位数,这点还请大家留意。虽然上次的木马事件造成了一定程度的警示,但外面的某些无良站点和只管到处转游戏的导购并不会在意所谓资源的质量和安全,它们仍然有可能在网络上不经意地传播带毒资源。
这份技术文章也提到了木马的特性,这挖矿木马拥有很强的隐蔽性,但被发现后并不难处理。它不像一些远古病毒一样直接KO你的电脑,不像很多勒索病毒一样张牙舞爪,也不会像那些蠕虫病毒一样一经运行直接全盘感染你的文件。中了挖矿木马,对很多电脑来说性能消耗并不大,它甚至也不影响游戏的运行。正因这些特性,这款木马初期才难以被发现。不清楚jekson5865是如何制作木马的,可以肯定的是,在众多木马作者里,它的水平绝不算差,很明显比这些年出现的那堆拙劣投毒人士要强得多。
文章同时也说明了一点:即挖矿木马在一开始没有被安全软件识别出来,即使是火绒,也是在接到社区举报,进行调查后才完成对木马的识别。若投毒者卷土重来,以它的能力,未必不能再搞出一款隐蔽木马。因此,我认为,对于自可疑来源获取的游戏文件,即使火绒等安全软件的扫描结果显示无异常,现阶段也不能作为说明资源是百分百安全的依据了。结合下面AS里出现的一些事情,相信很多人也会和我抱有一样的担忧。
AS发生了什么?
在12月31日,AS发布了这份公告,封了jekson5865。然而,很快,就有消息指出jekson5865换了个号,又开始在资源站活动。据称,它注册了个新账号——Qulichen,由于此ID的发帖风格与jekson5865十分相似,且来自俄罗斯,AS管理和此ID交流后,认为此人有很大概率为投毒者,又封了这个账号,见1月13日AS的帖子:
请留意AS管理的表达,封禁Qulichen的理由或者说“证据”并不是在其上传资源里检测到了类似木马的存在,而是由于其它可疑行径才ban了它。据此,可以认为,jekson5865有再次活动的迹象,它换了ID,同时很可能也完成了技术的升级,又搞出了不被安全软件识别的木马。我也认为AS管理的担忧不无道理,那么,若 jekson5865贼心不死,又想投毒,在知道自己已经被AS盯上提防后,它会选择哪里作为新账号搞事的地点呢?
为什么又是Tokyo Toshokan?
作为一个知名的资源站点,又是曾经活动的场所,限制也更少,Tokyo Toshokan再次成为投毒者大展身手的舞台,可以说是一点也不出乎意料。而刚好,在jekson5865的两个账号被AS封禁的时间点,Reeffress这个账号开始在TT上大量发布资源帖,以下名单从我的一个帖子里辑出
这是Reeffress自1月2日起在TT发布的资源名单,目前仍在不断增加中,可以看到,一个新近活跃的账号,在种子站上以远超寻常用户的频率发布同人资源,大家不妨看下这些游戏都有什么,这种全面铺开、大量投放、虚实结合的策略,与jekson5865/hentaigames36当初传播木马的trick十分相似。在这90多款游戏里,未必每一款都有它塞的木马,但集中发布这些游戏,借其中的一些资源来掩盖特定同人作里暗戳戳地塞木马的痕迹,这招上次已经见识过了。而且,短短几个星期里,发了超过90款同人游戏里,其中约九成打上了“自购(Own Bought)”标识,大家不妨想想这是什么概念,在我看来说是投毒者拿“自购”来增加资源的吸引力也不为过。在AS的告示里,人妻剣士サツキの寝取られ売春記-也是jekson5865发布的资源之一,但我想因为这款游戏中木马的人应该是少数,更多人是因为下载到了NTRギャル -オタクに優しいギャルは寝取られる-、カーテンのむこう NTR等游戏才出事的。究其原因,某些同人作关注度较低、初期放流少,从而导致单一放流源容易被投毒者控制,进而方便木马传播,而很多资源站出于各种原因又有转载新作的习惯,若安全软件初期也识别不出来,那“放心”转载这些资源的人可就太多了。毕竟很多人都是从知名资源站获取的,既然知名发布者或网站都转了那就一定没问题,我想,投毒者就是利用这种策略,以及这种心理惯性来搞事的。
为什么说Reeffress可疑?
两账号活动时间接近且近乎连续,资源发布的异常频率和动机可疑,这是其一。再者就是Reeffress发布资源时命名的格式、习惯、Comment的写法,都与hentaigames36有不容忽视的相似性。我举一例:
上图是hentaigames36发布的带毒资源NTRギャル -オタクに優しいギャルは寝取られる-的资源页面,下图是Reeffress最近发的一款游戏的页面,对比一些内容:
可见,即使它有意调整了,但命名的习惯和样式大体是相同的。这从它发布的所有游戏中都能看出来,我再来两张,大家可以看下
如果仔细观察的话,不难发现所有大量发帖的资源发布者对资源标题、排版都有各自的组织习惯,部分是由于各自所在站点的规范要求,部分是大量发帖所养成的个人组织资源和文件的行为习惯,并没有那么容易“刻意改变”。Reeffress和投毒者hentaigames36在这点上有很大的相似性。
接着,从上面的图片也能看到,资源页面里显示的Tracker指向,这两位发的东西是完全一样的。那么,到这里,有几种可能性可以解释,分别是:
可能性一
jekson5865在被AS封禁后,痛改前非,良心发现,于是自购数十款同人游戏,免费分享至种子站,充实各资源站的资源库,作为对之前传播木马的补偿
可能性二
Reeffress确实不是 jekson5865或hentaigames36,它真的就是那种突然活跃,一天不分享就浑身不舒服的H友,至于为什么资源命名的格式和习惯与hentaigames36相似,tracker指向也一样,都是巧合或有原因可以解释...
可能性三
jekson5865被举报封禁后仍然贼心不死,在AS尝试复出失败后,再次回到熟悉的Tokyo Toshokan,并凭借不屈的决心和技术能力再次完成了现阶段无法被安全软件识别出来的木马,故技重施地塞到一堆同人新作资源里发出去
各位可以想想,结合之前发生的种种事情,各种迹象,以及投毒者的人品,上面哪一种可能性更大
基于以上种种缘由,我完全有理由怀疑Reeffress是投毒者的另一个账号,且近期它又开始行动了。
我的建议
以下是我的具体建议,情况特殊,所以也需要麻烦一点的应对方法,为了资源的安全,至少我认为这是值得考虑的
对资源发布者的建议:
*若发布非个人自购形式的游戏资源,建议自行甄别资源来源,确认所转载游戏与Reeffress发布的资源毫无关联,最好是从“确信的自购源”处获取,建议避开AS、HS、Ryu等站点的资源,若自己没有把握确认所转资源的可靠性,请谨慎考虑发布的可行性和必要性
对论坛相关版块的管理人员的建议:
*建议各位审核资源的管理人员对Reeffress发布资源的动向保持必要的关注,并在未来论坛出现与Reeffress所发重合的转载资源时,检查或(口头)提醒资源发布者确认资源来源的安全性
如上,我的建议很简单,本帖的大部分内容旨在告诉大家我为什么觉得这件事还没完,以及为什么需要警惕近期Reeffress在Tokyo Toshokan发布的资源。事到如今,我认为,如果像上次一样等到安全软件发布声明或社区大量自发反馈时,到那时黄瓜菜都凉了。如果之后证明无事发生,那自然最好,大家把我当成容易应激的小丑笑笑就好了,但万一被我不幸说中了,希望我的帖子能或多或少地帮助一些人提前规避麻烦。在这两个月里,我自认为对论坛的资源构成、活跃程度、用户习惯有了一定程度的了解,也深刻体会到各位管理人员处理版务的认真和负责。正因如此,我才斗胆在此提起此事,也相信即使事情走向真如我所预料那般,但此时若能提前有所防范,最后也不会造成过于严重的影响。
而另一方面,我也承认现在确实拿不出能锤死Reeffress投毒的证据。是的,如果要问能实锤“资源带毒”的证据,我目前没有。因为我水平有限,没有技术能力对Reeffress发布的资源文件进行有无木马特征行为的分析,更没胆子去碰它发的东西。我也清楚,发这个帖子有可能会让我以后沦为像我曾讽刺过的某位AS用户一样的笑柄,即使如此,我也希望通过发布此帖,尽可能把事情的来龙去脉、某账号的可疑行径等一一展现出来,并基于这些提出我的看法和建议。
我还是新人,对论坛的资源事务并不了解,所以不知道具体该找哪位版主,如有遗漏,还请其它人替我补充
@imisao @fless @inuisanaa @吹雪吹雪吹 @Alcine
