美國知名業界良心視頻動漫平台CrunchyRoll被黑，強制用戶下載惡意軟體

11月4號，美國動畫流媒體服務商Crunchyroll被劫持用於傳播惡意軟體。一旦用戶登錄該網站，就會出現一個惡意軟體下載提示，強迫用戶下載，隨後Crunchyroll官方宣布暫時關閉網站，不過幾個小時後，問題就被解決，現在它已經恢復正常運行。

事件回顧

CrunchyRoll是一個提供動畫、漫畫、戲劇、音樂等東亞媒體流服務的美國和國際在線社區,目前付費訂閱用戶已超過100萬。在11月4號早上，德國的Crunchyroll員工首先發現了該問題，並用英語在官方Twitter發布了一條通知，警告用戶不要登陸crunchyroll，他們正在處理相關問題。

當時德國的員工發現，訪問者開始訪問網站時，會出現一個應用程序下載提示，而根據檢測，這個程序並非Crunchyroll提供的，而是由黑客自己加上去的，是一款惡意軟體。據了解，用戶被要求下載的惡意文件叫CrunchyViewer.exe。

截止11月5號，CrunchyRoll又發布了一份聲明，詳細說明這是一個DNS劫持，而不是網站本身被黑客攻擊。根據CrunchyRoll的最新說法，攻擊者能夠訪問他們的Cloudflare帳戶，將訪問者重定向到攻擊者控制下的另一個站點，從而用這個網站來傳播CrunchyViewer.exe惡意軟體程序。

CrunchyViewer.exe安裝

當升級的CrunchyViewer.exe程序被下載並執行時，它會將嵌入的base64編碼文件提取到％AppData％svchost.exe並執行它。 你可以在下面提供的Crunchyroll.exe文件的屏幕截圖中看到base64編碼的文件。

當惡意可執行程序啟動時，它將創建一個名為Java的自動啟動機制，當受害者登錄到計算機時就會自動啟動％AppData％svchost.exe程序。

不過，目前還不知道這個惡意的可執行程序到底實施了什麼樣的攻擊行為。根據安全研究員巴特?布雷特(Bart Blaze)的一份詳細報告，他覺得這可能是一個鍵盤記錄器。不過目前還是猜測，具體的信息我會隨時進行跟蹤報道。

如何刪除與Crunchyroll相關的惡意軟體?

值得慶幸的是，刪除由Crunchyroll hack傳播的惡意軟體相當容易。唯一的問題是，這個惡意軟體目前還沒有被許多安全供應商檢測到，因此我們需要執行手動刪除，具體可分為以下9步：

1.在開始菜單搜索欄中輸入regedit命令，打開Windows註冊表編輯器。當你在搜索結果中看到regedit.exe或註冊表編輯器時，點擊它啟動程序。

2.打開註冊表編輯器時，導航到HKEY_CURRENT_USER SOFTWAREMicrosoftWindowsCurrentVersion Run並單擊運行鍵。如下所示，現在你應該在右窗格中看到一個名為Java的值。

3.現在右鍵單擊Java條目並選擇Delete，如下圖所示。

4.當要求你確認刪除該值時，單擊Yes。

5.現在重啟你的電腦，當重新登錄時，惡意軟體的可執行文件將不再啟動。

6.現在導航到％AppData％(通常為C:users[user_name]appdataroaming)文件夾，你應該能看到一個名為svchost.exe的程序。

7.右鍵單擊該文件並選擇Delete將其從計算機中刪除。

8.現在使用你安裝的安全軟體執行安全掃描。

9.如果這個惡意軟體確實是一個鍵盤記錄器，你可能還需要考慮將你的全部登陸密碼全都進行修改。

這樣你的電腦里的與Crunchyroll相關的惡意軟體就被全部清除了。

本文翻譯自：https://www.bleepingcomputer.com/news/security/popular-anime-site-crunchyroll-com-hijacked-to-distribute-malware/ ，如若轉載，請註明原文地址： http://www.4hou.com/info/news/8323.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：