美國知名業界良心視頻動漫平台CrunchyRoll被黑,強制用戶下載惡意軟體
11月4號,美國動畫流媒體服務商Crunchyroll被劫持用於傳播惡意軟體。一旦用戶登錄該網站,就會出現一個惡意軟體下載提示,強迫用戶下載,隨後Crunchyroll官方宣布暫時關閉網站,不過幾個小時後,問題就被解決,現在它已經恢復正常運行。
事件回顧
CrunchyRoll是一個提供動畫、漫畫、戲劇、音樂等東亞媒體流服務的美國和國際在線社區,目前付費訂閱用戶已超過100萬。在11月4號早上,德國的Crunchyroll員工首先發現了該問題,並用英語在官方Twitter發布了一條通知,警告用戶不要登陸crunchyroll,他們正在處理相關問題。
當時德國的員工發現,訪問者開始訪問網站時,會出現一個應用程序下載提示,而根據檢測,這個程序並非Crunchyroll提供的,而是由黑客自己加上去的,是一款惡意軟體。據了解,用戶被要求下載的惡意文件叫CrunchyViewer.exe。
截止11月5號,CrunchyRoll又發布了一份聲明,詳細說明這是一個DNS劫持,而不是網站本身被黑客攻擊。根據CrunchyRoll的最新說法,攻擊者能夠訪問他們的Cloudflare帳戶,將訪問者重定向到攻擊者控制下的另一個站點,從而用這個網站來傳播CrunchyViewer.exe惡意軟體程序。
CrunchyViewer.exe安裝
當升級的CrunchyViewer.exe程序被下載並執行時,它會將嵌入的base64編碼文件提取到%AppData%svchost.exe並執行它。 你可以在下面提供的Crunchyroll.exe文件的屏幕截圖中看到base64編碼的文件。
當惡意可執行程序啟動時,它將創建一個名為Java的自動啟動機制,當受害者登錄到計算機時就會自動啟動%AppData%svchost.exe程序。
不過,目前還不知道這個惡意的可執行程序到底實施了什麼樣的攻擊行為。根據安全研究員巴特?布雷特(Bart Blaze)的一份詳細報告,他覺得這可能是一個鍵盤記錄器。不過目前還是猜測,具體的信息我會隨時進行跟蹤報道。
如何刪除與Crunchyroll相關的惡意軟體?
值得慶幸的是,刪除由Crunchyroll hack傳播的惡意軟體相當容易。唯一的問題是,這個惡意軟體目前還沒有被許多安全供應商檢測到,因此我們需要執行手動刪除,具體可分為以下9步:
1.在開始菜單搜索欄中輸入regedit命令,打開Windows註冊表編輯器。當你在搜索結果中看到regedit.exe或註冊表編輯器時,點擊它啟動程序。
2.打開註冊表編輯器時,導航到HKEY_CURRENT_USER SOFTWAREMicrosoftWindowsCurrentVersion Run並單擊運行鍵。如下所示,現在你應該在右窗格中看到一個名為Java的值。
3.現在右鍵單擊Java條目並選擇Delete,如下圖所示。
4.當要求你確認刪除該值時,單擊Yes。
5.現在重啟你的電腦,當重新登錄時,惡意軟體的可執行文件將不再啟動。
6.現在導航到%AppData%(通常為C:users[user_name]appdataroaming)文件夾,你應該能看到一個名為svchost.exe的程序。
7.右鍵單擊該文件並選擇Delete將其從計算機中刪除。
8.現在使用你安裝的安全軟體執行安全掃描。
9.如果這個惡意軟體確實是一個鍵盤記錄器,你可能還需要考慮將你的全部登陸密碼全都進行修改。
這樣你的電腦里的與Crunchyroll相關的惡意軟體就被全部清除了。
本文翻譯自:https://www.bleepingcomputer.com/news/security/popular-anime-site-crunchyroll-com-hijacked-to-distribute-malware/ ,如若轉載,請註明原文地址: http://www.4hou.com/info/news/8323.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※作為個人參與網路活動,如何盡量避免被社會工程和降低風險?
※PWA-Progressive Web Attack
※探索網路安全 共建網路強國
※如何提取Google Chrome中的密碼?
※可能很多人已經知道了,但還是安利一波ceye.io吧
TAG:信息安全 |