看看影音挖矿病毒查杀工具是一款帮你查杀最近被曝光的看看影音官方携带的恶意挖矿病毒的软件,响巢看看旗下的看看影音最近被曝光利用病毒控制用户电脑偷偷挖矿牟利。看看影音原身为迅雷看看,后转投响巢看看旗下后搞不过其他影视巨头竟然偷偷坑起用户来了,这个病毒会自动利用你电脑的gpu进行挖矿,导致电脑gpu占用率过高发热严重等情况,建议安装了这款软件的用户下载这款病毒查杀工具扫描下自己的电脑。
9月19日消息,猎豹移动安全中心监测发现,看看影音涉嫌利用病毒控制用户电脑,通过以太币挖矿(一种类似比特币的数字币)牟利。猎豹移动旗下的金山毒霸已对该病毒进行查杀,仅金山毒霸检测到的日感染量约4万台,预计累计中毒电脑超过100万台。
看看影音被曝造毒牟利 预计超过百万台电脑中毒
根据猎豹移动安全团队的技术分析,从看看官网下载的看看影音,在安装时会注册组件到注册表,开机后自动连接看看官网(http:/***.kankan.com/rbc/task*_v1.2.dat),下载挖矿模块到本地。
该病毒会检测用户环境,若系统资源有较多闲置,就会利用电脑的GPU资源(显卡芯片)计算以太币。以太币是一种类似比特币的虚拟货币,利用显卡GPU计算虚拟币的行为被圈内人士俗称为挖矿。
当病毒开始挖矿时,挖矿开始后,病毒会在用户目录下生成Ethash目录,单个文件数据大小超过1.5GB。同时造成用户电脑GPU占用率飙升,电脑发热增大等现象。由于看看影音本身属于正常软件,通常被各安全软件直接信任,从而导致这种恶意行为难以被发现。
“这个病毒组件相关的文件,均有看看影音官方公司的数字签名。文件的数字签名表示该文件为某公司开发,在分发过程中,没有被人为篡改。”猎豹移动安全专家说:“而且病毒会连接看看官网,接受其官网服务器的远程控制,这说明该病毒与响巢看看公司相关。”
猎豹移动安全中心的监测数据表明,每天大约从4万台电脑上检测到这个挖矿病毒,推测累计感染量在100万台以上,建议安装看看影音的网友进行杀毒。(明宇)
安装看看影音后,会注册组件%APP_DATA%Video LegendRBCProgramRBCShellExternal.dll到注册表的explorer加载项,从而开机即可加载运行,然后通过lua脚本控制,下载挖矿模块到本地利用GPU挖矿,整个流程如下图所示:
[看看影音挖矿行为整体流程简图]
RBCShellExternal.dll分析
该组件是一个商业功能模块,RBC是Remote Bussiness Control的缩写。顾名思义,这个模块可以通过远程配置来控制用户电脑上运行不同的模块,比如升级、修复、广告弹窗、推广安装等,也包括挖矿。
RBCShellExternal.dll会通过rundll32.exe来加载模块RBCEntry.dll,并通过命令行参数来检测调试工具。
[加载RBCEntry.dll的命令行