近日，火绒安全实验室发出警报，病毒团伙正在利用多款热门游戏疯狂传播后门病毒“Backdoor/Jsctrl”，每天有数十万台电脑受到感染。感染病毒之后，病毒制作者可随时通过远程指令对电脑做出下载其他病毒程序、劫持流量在内的多种破坏行为，牟取利益。

游戏运行界面

　　据火绒安全团队分析，该病毒被制作者伪装成安装数据统计组件，植入到《传奇世界》、《传奇霸业》、《蓝月传奇》、《九天封神》等热门游戏的微端安装包内。用户在PChome、下载吧等网站下载某些软件时，会被捆绑安装这些游戏微端，这些网站所提供的高速下载器也会推广该病毒的安装包，病毒也借机进入用户电脑。

　　当病毒入侵电脑后，病毒制作者可以通过修改服务器上的后门代码，远程操控受害者电脑，进行多种破坏行为，包括下载其他病毒程序、后台暗刷流量等。

　　病毒“Backdoor/Jsctrl”极为顽固、隐蔽，不仅无法通过卸载游戏清除，还具备“反追踪”设置，可以监测远程协助软件（如安全厂商常用的TeamViewer等）中的运行窗口，一旦发现正在被远程协助，则会彻底删除病毒相关所有文件，以免被安全研究人员追踪。

等待进程退出

　　该后门病毒在上述游戏微端按转包运行后即被植入，且即便游戏被卸载仍然会常驻系统，该病毒会在远程C&C服务器存放的JavaScript代码控制下，利用病毒中封装的JavaScript对象可以执行任意Windows API或其他后门逻辑（如：下载、运行命令行等）。并且，在我们近段时间的分析和追踪过程中，该C&C服务器下发的后门脚本仍处于持续更新状态。

　　与一般游戏不同，这些游戏推广力度非常大，重金邀请张家辉、古天乐等知名港星代言，网络推广铺天盖地，病毒也得以借势传播。根据“火绒威胁情报系统”的统计和评估，目前每天约有30-50万台电脑感染病毒。对于病毒出现的原因，火绒安全团队表示，该病毒团伙很可能是部分游戏推广渠道商，建议以上游戏厂商尽快彻查自家游戏推广渠道。

　　目前，“火绒安全软件”已升级病毒库，可以率先拦截、查杀“Backdoor/Jsctrl”。火绒工程师提醒广大用户，尽量通过官方网站下载软件，以免在被捆绑推广的同时，感染病毒。