【警示】请各位警惕新型由Java版插件传播的感染型病毒

大家好，这里是PotatoCraft Studio，也就是QuickShop-Reremake的开发团队。

在我们上个月的更新中为QuickShop添加了数字签名认证后，我们发现了一种感染型病毒正在快速蔓延，且允许攻击者执行远程操作。

病毒采用自动化感染逻辑，受感染的插件一旦被安装到服务器中则会感染其他所有没有被感染的插件并使其成为新的传染源。若插件作者在测试端感染此病毒后，甚至可以达成**链攻击的效果。

请手动打开任意插件的JAR文件 检查是否存在.l_ignore可疑文件（该病毒固定释放的感染判定文件）。若存在则可证明已被感染。

该病毒样本目前会在onEnable方法中插入拉起自己恶意感染类的代码。恶意感染类会在和main class同包下产生一个主类名L任意数字的类，例如QuickShopL10.class 并在jar产生感染标识文件 .l_ignore。攻击者会让受感染文件连接到恶意开发者受控制的websocket服务器实现远程代码下发。不排除未来执行其他恶意操作的行为。

另：目前看来只影响Windows/Windows Server系统

为自己的插件JAR进行签名或者hash校验。签名后的jar在被修改后将无法被Java载入，避免成为病毒传播。

立刻关闭服务器并对服务器数据完整备份。

删除你正在使用的所有插件和服务器核心文件，重新下载安装。

检查权限设置和OP列表和IP过滤列表（如果有），清除不正常的条目，修改密码。

如果有条件，可设置防火墙屏蔽websocket协议。

如果条件有限，也可根据 https://www.bilibili.com/read/mobile/9651407 进行操作。

部分用户报告其初始感染源来自BlackSpigot或者第三方SlimeFun构建，请各位服主提高警惕。

以上文章在39.6℃高烧的情况下撰写，内容无法保证没有偏差，也因此没有深入调查，有兴趣的开发者可前往PotatoCraft Studio的malware-collector频道下载病毒样本，以上。