全战三国与Amadey病毒

一、疑云

某天晚，本人突发奇想从外网上体验一下全战三国（全面战争：三国）的可玩版本（没玩过全战系列，听说三国版是个半成品，打算先体验一下再考虑入正版。国内网站找到的资源：1.53的版本闪退，1.71的版本没有学习版），突然不小心中了人生中第一个电脑病毒。。。

说来也奇怪，下载的这个病毒与游戏本体相差甚远（11MB和19GB），我记得压缩包里一共包含三个文件

cred64.dll

clip64.dll

setup.exe

fig1 已经被删除的压缩包

但当时按耐不住想玩游戏的渴望，再想着如果是什么2345之类的流氓软件，开始安装后我可以取消，连压缩包都没解压，直接点了setup。。。

二、开端

接着一个绿色的加载项弹出来立马就消失了。当时我感觉有点不对劲，然后过了一会联想安全管家在屏幕右下角疯狂的弹窗提醒我检测到恶意软件injector.dll和Trojan.dll，建议我进行隔离。虽然起作用了，但是隔离之后再进行删除，由于病毒修改了注册表的开机启动项根本没办法斩草除根。病毒就疯狂在这个路径下野蛮生长，根本删不掉，甚至重启之后直接弹窗提醒我无法启动某文件。（太可恶啦！骑在我脸上蹦迪！！）于是我和病毒就陷入了僵持阶段。。。

C:\Users\10407\AppData\Roaming\2eed656dd58e95\

三、破局

后来知道了病毒是amadey就开始在网上找方法（首先感谢copilot，在我对病毒一无所知的情况下根据clip64.dll帮我判断出来是什么病毒。🙇‍）

接着在这个网站中找到了破解方法：Remove Trojan:Win32/Amadey Trojan [Virus Removal] (malwaretips.com)  感谢感谢

由于该方法适用于以及被植入病毒的电脑，所以我只去了第一步。首先在设置里面找到安装的应用，按安装日期排序，果然找到三个和当天时间一样的新软件，其中一个还伪装成了extension with microsoft，还有一个uninstaller。具体的名字本人记不清了，当时删的着急没来得及截屏，就只留下一个示意图。

四、收尾

其实在第三步结束后就没有弹窗了，但是我担心病毒修改了注册表会留下隐患，所以又下载了360杀毒，一扫描直接找到几个病毒所在位置，又经过两次重启，问题算是解决了。

• 

 总结：window defender在本事件中作用为零，联想安全管家虽然监测到病毒并且阻止了，但是不能彻底杀掉病毒。最后感谢360，虽然平时也总是调侃360检查太过激，但是还是很有效率地杀除了病毒。

最后说个有意思的，360在杀完毒之后的扫描中又把联想电脑管家的开机启动扫出来了。

关于Amadey：

Amadey 是一种恶意软件，它是一种木马窃取者（Trojan Stealer），首次出现在2018年，并且一直保持着持久的僵尸网络基础设施。它使用Malware as a Service（MaaS）模型，以便向其他恶意行为者提供恶意软件相关的服务或资源。Amadey的主要功能之一是从受感染的主机收集剪贴板数据，并将其传输到指定的命令和控制（C2）服务器1

其中一个关键插件是clip64.dll，它在Amadey木马的操作中起着重要作用。它的主要功能是从受感染的主机收集剪贴板数据，并将其传输到指定的C2服务器。它利用了Windows API函数**GetClipboardData()**来实现这一功能1。

Amadey还具有以下特点：

反沙箱：Amadey会检查其运行进程的文件路径，以避免在不受欢迎的位置运行。它还使用两层编码算法来混淆字符串，使静态分析变得更加困难。
持久性：Amadey使用多种持久性机制，以确保在系统重启后仍能自动执行。
防御规避：它修改文件和目录权限，以逃避安全软件的检测。
C2通信：与C2服务器的通信允许攻击者从受害者系统中窃取数据，包括登录凭据、财务数据和其他个人信息。