成人娛樂電影院 是一款幫你查殺最近被曝光的看看影音官方攜帶的惡意挖礦病毒的軟件，響巢看看旗下的看看影音最近被曝光利用病毒控制用戶電腦偷偷挖礦牟利?？纯从耙粼頌檠咐卓纯?，后轉(zhuǎn)投響巢看看旗下后搞不過其他影視巨頭竟然偷偷坑起用戶來了，這個(gè)病毒會(huì)自動(dòng)利用你電腦的gpu進(jìn)行挖礦，導(dǎo)致電腦gpu占用率過高發(fā)熱嚴(yán)重等情況，建議安裝了這款軟件的用戶下載這款病毒查殺工具掃描下自己的電腦。

9月19日消息，獵豹移動(dòng)安全中心監(jiān)測(cè)發(fā)現(xiàn)，看看影音涉嫌利用病毒控制用戶電腦，通過以太幣挖礦（一種類似比特幣的數(shù)字幣）牟利。獵豹移動(dòng)旗下的金山毒霸已對(duì)該病毒進(jìn)行查殺，僅金山毒霸檢測(cè)到的日感染量約4萬臺(tái)，預(yù)計(jì)累計(jì)中毒電腦超過100萬臺(tái)。

看看影音被曝造毒牟利 預(yù)計(jì)超過百萬臺(tái)電腦中毒

根據(jù)獵豹移動(dòng)安全團(tuán)隊(duì)的技術(shù)分析，從看看官網(wǎng)下載的看看影音，在安裝時(shí)會(huì)注冊(cè)組件到注冊(cè)表，開機(jī)后自動(dòng)連接看看官網(wǎng)（http:/***.kankan.com/rbc/task*_v1.2.dat），下載挖礦模塊到本地。

該病毒會(huì)檢測(cè)用戶環(huán)境，若系統(tǒng)資源有較多閑置，就會(huì)利用電腦的GPU資源（顯卡芯片）計(jì)算以太幣。以太幣是一種類似比特幣的虛擬貨幣，利用顯卡GPU計(jì)算虛擬幣的行為被圈內(nèi)人士俗稱為挖礦。

當(dāng)病毒開始挖礦時(shí)，挖礦開始后，病毒會(huì)在用戶目錄下生成Ethash目錄，單個(gè)文件數(shù)據(jù)大小超過1.5GB。同時(shí)造成用戶電腦GPU占用率飆升，電腦發(fā)熱增大等現(xiàn)象。由于看看影音本身屬于正常軟件，通常被各安全軟件直接信任，從而導(dǎo)致這種惡意行為難以被發(fā)現(xiàn)。

“這個(gè)病毒組件相關(guān)的文件，均有看看影音官方公司的數(shù)字簽名。文件的數(shù)字簽名表示該文件為某公司開發(fā)，在分發(fā)過程中，沒有被人為篡改?！鲍C豹移動(dòng)安全專家說：“而且病毒會(huì)連接看看官網(wǎng)，接受其官網(wǎng)服務(wù)器的遠(yuǎn)程控制，這說明該病毒與響巢看看公司相關(guān)?！?/p>

獵豹移動(dòng)安全中心的監(jiān)測(cè)數(shù)據(jù)表明，每天大約從4萬臺(tái)電腦上檢測(cè)到這個(gè)挖礦病毒，推測(cè)累計(jì)感染量在100萬臺(tái)以上，建議安裝看看影音的網(wǎng)友進(jìn)行殺毒。（明宇）

安裝看看影音后，會(huì)注冊(cè)組件%APP_DATA%\Video Legend\RBC\Program\RBCShellExternal.dll到注冊(cè)表的explorer加載項(xiàng)，從而開機(jī)即可加載運(yùn)行，然后通過lua腳本控制，下載挖礦模塊到本地利用GPU挖礦，整個(gè)流程如下圖所示：

[看看影音挖礦行為整體流程簡(jiǎn)圖]

RBCShellExternal.dll分析

該組件是一個(gè)商業(yè)功能模塊，RBC是Remote Bussiness Control的縮寫。顧名思義，這個(gè)模塊可以通過遠(yuǎn)程配置來控制用戶電腦上運(yùn)行不同的模塊，比如升級(jí)、修復(fù)、廣告彈窗、推廣安裝等，也包括挖礦。

RBCShellExternal.dll會(huì)通過rundll32.exe來加載模塊RBCEntry.dll，并通過命令行參數(shù)來檢測(cè)調(diào)試工具。

[加載RBCEntry.dll的命令行