看看影音被曝造毒牟利 预计超过百万台电脑中毒
根据猎豹移动安全团队的技术分析,从看看官网下载的看看影音,在安装时会注册组件到注册表,开机后自动连接看看官网(http:/***.kankan.com/rbc/task*_v1.2.dat),下载挖矿模块到本地。
该病毒会检测用户环境,若系统资源有较多闲置,就会利用电脑的GPU资源(显卡芯片)计算以太币。以太币是一种类似比特币的虚拟货币,利用显卡GPU计算虚拟币的行为被圈内人士俗称为挖矿。
当病毒开始挖矿时,挖矿开始后,病毒会在用户目录下生成Ethash目录,单个文件数据大小超过1.5GB。同时造成用户电脑GPU占用率飙升,电脑发热增大等现象。由于看看影音本身属于正常软件,通常被各安全软件直接信任,从而导致这种恶意行为难以被发现。
“这个病毒组件相关的文件,均有看看影音官方公司的数字签名。文件的数字签名表示该文件为某公司开发,在分发过程中,没有被人为篡改。”猎豹移动安全专家说:“而且病毒会连接看看官网,接受其官网服务器的远程控制,这说明该病毒与响巢看看公司相关。”
猎豹移动安全中心的监测数据表明,每天大约从4万台电脑上检测到这个挖矿病毒,推测累计感染量在100万台以上,建议安装看看影音的网友进行杀毒。(明宇)
安装看看影音后,会注册组件%APP_DATA%\Video Legend\RBC\Program\RBCShellExternal.dll到注册表的explorer加载项,从而开机即可加载运行,然后通过lua脚本控制,下载挖矿模块到本地利用GPU挖矿,整个流程如下图所示:
[看看影音挖矿行为整体流程简图]
RBCShellExternal.dll分析
该组件是一个商业功能模块,RBC是Remote Bussiness Control的缩写。顾名思义,这个模块可以通过远程配置来控制用户电脑上运行不同的模块,比如升级、修复、广告弹窗、推广安装等,也包括挖矿。
RBCShellExternal.dll会通过rundll32.exe来加载模块RBCEntry.dll,并通过命令行参数来检测调试工具。
[加载RBCEntry.dll的命令行