导语:11月4号,美国动画流媒体服务商Crunchyroll被劫持用于传播恶意软件。一旦用户登录该网站,就会出现一个恶意软件下载提示,强迫用户下载,随后Crunchyroll官方宣布暂时关闭网站,不过几个小时后,问题就被解决,现在它已经恢复正常运行。

y4dQ-fynnnsc6132551.jpg

11月4号,美国动画流媒体服务商Crunchyroll被劫持用于传播恶意软件。一旦用户登录该网站,就会出现一个恶意软件下载提示,强迫用户下载,随后Crunchyroll官方宣布暂时关闭网站,不过几个小时后,问题就被解决,现在它已经恢复正常运行。

事件回顾

CrunchyRoll是一个提供动画、漫画、戏剧、音乐等东亚媒体流服务的美国和国际在线社区,目前付费订阅用户已超过100万。在11月4号早上,德国的Crunchyroll员工首先发现了该问题,并用英语在官方Twitter发布了一条通知,警告用户不要登陆crunchyroll,他们正在处理相关问题。

nVbi-fynnnsc6132584.png

当时德国的员工发现,访问者开始访问网站时,会出现一个应用程序下载提示,而根据检测,这个程序并非Crunchyroll提供的,而是由黑客自己加上去的,是一款恶意软件。据了解,用户被要求下载的恶意文件叫CrunchyViewer.exe。

1.png

截止11月5号,CrunchyRoll又发布了一份声明,详细说明这是一个DNS劫持,而不是网站本身被黑客攻击。根据CrunchyRoll的最新说法,攻击者能够访问他们的Cloudflare帐户,将访问者重定向到攻击者控制下的另一个站点,从而用这个网站来传播CrunchyViewer.exe恶意软件程序。

CrunchyViewer.exe安装

当升级的CrunchyViewer.exe程序被下载并执行时,它会将嵌入的base64编码文件提取到%AppData%svchost.exe并执行它。 你可以在下面提供的Crunchyroll.exe文件的屏幕截图中看到base64编码的文件。

2.png

当恶意可执行程序启动时,它将创建一个名为Java的自动启动机制,当受害者登录到计算机时就会自动启动%AppData%svchost.exe程序。

不过,目前还不知道这个恶意的可执行程序到底实施了什么样的攻击行为。根据安全研究员巴特•布雷特(Bart Blaze)的一份详细报告,他觉得这可能是一个键盘记录器。不过目前还是猜测,具体的信息我会随时进行跟踪报道。

如何删除与Crunchyroll相关的恶意软件?

值得庆幸的是,删除由Crunchyroll hack传播的恶意软件相当容易。唯一的问题是,这个恶意软件目前还没有被许多安全供应商检测到,因此我们需要执行手动删除,具体可分为以下9步:

1.在开始菜单搜索栏中输入regedit命令,打开Windows注册表编辑器。当你在搜索结果中看到regedit.exe或注册表编辑器时,点击它启动程序。

2.打开注册表编辑器时,导航到HKEY_CURRENT_USER SOFTWAREMicrosoftWindowsCurrentVersion Run并单击运行键。如下所示,现在你应该在右窗格中看到一个名为Java的值。

3.png

3.现在右键单击Java条目并选择Delete,如下图所示。

4.png

4.当要求你确认删除该值时,单击Yes。

5.现在重启你的电脑,当重新登录时,恶意软件的可执行文件将不再启动。

6.现在导航到%AppData%(通常为C:users[user_name]appdataroaming)文件夹,你应该能看到一个名为svchost.exe的程序。

5.png

7.右键单击该文件并选择Delete将其从计算机中删除。

8.现在使用你安装的安全软件执行安全扫描。

9.如果这个恶意软件确实是一个键盘记录器,你可能还需要考虑将你的全部登陆密码全都进行修改。

这样你的电脑里的与Crunchyroll相关的恶意软件就被全部清除了。

源链接

Hacking more

...