美国知名视频动漫平台CrunchyRoll被黑，强制用户下载恶意软件

11月4号，美国动画流媒体服务商Crunchyroll被劫持用于传播恶意软件。一旦用户登录该网站，就会出现一个恶意软件下载提示，强迫用户下载，随后Crunchyroll官方宣布暂时关闭网站，不过几个小时后，问题就被解决，现在它已经恢复正常运行。

事件回顾

CrunchyRoll是一个提供动画、漫画、戏剧、音乐等东亚媒体流服务的美国和国际在线社区,目前付费订阅用户已超过100万。在11月4号早上，德国的Crunchyroll员工首先发现了该问题，并用英语在官方Twitter发布了一条通知，警告用户不要登陆crunchyroll，他们正在处理相关问题。

当时德国的员工发现，访问者开始访问网站时，会出现一个应用程序下载提示，而根据检测，这个程序并非Crunchyroll提供的，而是由黑客自己加上去的，是一款恶意软件。据了解，用户被要求下载的恶意文件叫CrunchyViewer.exe。

截止11月5号，CrunchyRoll又发布了一份声明，详细说明这是一个DNS劫持，而不是网站本身被黑客攻击。根据CrunchyRoll的最新说法，攻击者能够访问他们的Cloudflare帐户，将访问者重定向到攻击者控制下的另一个站点，从而用这个网站来传播CrunchyViewer.exe恶意软件程序。

CrunchyViewer.exe安装

当升级的CrunchyViewer.exe程序被下载并执行时，它会将嵌入的base64编码文件提取到％AppData％svchost.exe并执行它。 你可以在下面提供的Crunchyroll.exe文件的屏幕截图中看到base64编码的文件。

当恶意可执行程序启动时，它将创建一个名为Java的自动启动机制，当受害者登录到计算机时就会自动启动％AppData％svchost.exe程序。

不过，目前还不知道这个恶意的可执行程序到底实施了什么样的攻击行为。根据安全研究员巴特•布雷特(Bart Blaze)的一份详细报告，他觉得这可能是一个键盘记录器。不过目前还是猜测，具体的信息我会随时进行跟踪报道。

如何删除与Crunchyroll相关的恶意软件?

值得庆幸的是，删除由Crunchyroll hack传播的恶意软件相当容易。唯一的问题是，这个恶意软件目前还没有被许多安全供应商检测到，因此我们需要执行手动删除，具体可分为以下9步：

1.在开始菜单搜索栏中输入regedit命令，打开Windows注册表编辑器。当你在搜索结果中看到regedit.exe或注册表编辑器时，点击它启动程序。

2.打开注册表编辑器时，导航到HKEY_CURRENT_USER SOFTWAREMicrosoftWindowsCurrentVersion Run并单击运行键。如下所示，现在你应该在右窗格中看到一个名为Java的值。

3.现在右键单击Java条目并选择Delete，如下图所示。

4.当要求你确认删除该值时，单击Yes。

5.现在重启你的电脑，当重新登录时，恶意软件的可执行文件将不再启动。

6.现在导航到％AppData％(通常为C:users[user_name]appdataroaming)文件夹，你应该能看到一个名为svchost.exe的程序。

7.右键单击该文件并选择Delete将其从计算机中删除。

8.现在使用你安装的安全软件执行安全扫描。

9.如果这个恶意软件确实是一个键盘记录器，你可能还需要考虑将你的全部登陆密码全都进行修改。

这样你的电脑里的与Crunchyroll相关的恶意软件就被全部清除了。