تعرض موقع أنيمي شعبي Crunchyroll.com هذا الصباح للإختراق الذي يطلب من الزوار تحميل نسخة سطح المكتب من برامجهم. هذا البرنامج، يتضمن برامج ضارة التي تم تثبيتها جنبا إلى جنب معه.
عندما استيقظ الموظفين Crunchyroll في ألمانيا هذا الصباح كانوا في استقبال أخبار أن شيئا ما لم يكن صحيحا تماما مع الموقع. ونتيجة لذلك بدأوا في إصدار تنبيهات تخبر الزوار بالبقاء بعيدا عن الموقع في الوقت الحاضر.
في حين أن الإختراق كان جاريا، تم استقبال الزوار مع موجه لتحميل ومحاولة تطبيق سطح المكتب الجديد. لم يكن تطبيق سطح المكتب مقدم من الموقع ، ولكنه من القراصنة من أجل توزيع البرامج الضارة.
وفقا Crunchyroll، الموقع لم يخترق، بل كان ضحية خطف DNS بطريقة ما. حيث صرح الموقع أن سرقة DNS تسبب في استنساخ الموقع وسيطرة عليه ليتم عرضه للزائر أو تم إعادة توجيه الامر غير معروف حاليا.
And for our English-speaking audiencePlease DO NOT access our website at the current time. We are aware of the issues and are working on it
مالذي تم تثبيته بواسطة هذا التحميل الخبيث؟
عند تحميل البرنامج المقدم وتنفيذها، فإنه يستخراج ملف مشفر base64 جزءا لا يتجزأ من %AppData%\svchost.exe . يمكنك أن ترى الملف base64 المشفرة في لقطة من الملف Crunchyroll.exe المقدمة أدناه.
عند بدء تشغيل الملف الخبيثة القابلة للتنفيذ، فإنه سيتم إنشاء تشغيل تلقائي يسمى جافا التي تطلق برنامج %AppData%\svchost.exe عند ما يقوم الضحية بتسجيل الدخول للكمبيوتر.
لسوء الحظ، فإن هذا التنفيذ الخبيث غير معروف حاليا . وفقا لكتابة مفصلة من قبل الباحث الأمني Bart Blaze، قال انه يشعر أنه قد يكون keylogger .
كيف يمكنك إزالة البرامج الضارة المرتبطة Crunchyroll؟
لحسن الحظ، إزالة البرامج الضارة التي وزعها إختراق كرونشي رول من السهل إلى حد ما. المشكلة الوحيدة هي أن هذه البرامج الضارة لا يتم الكشف عنها حاليا من قبل العديد من موردي الأمان، لذا سنحتاج إلى تنفيذ خطوات الإزالة اليدوية.
- افتح محرر تسجيل ويندوز عن طريق كتابة regedit في شريط البحث قائمة ابدأ. عندما ترى regedit.exe أو محرر التسجيل في نتائج البحث، انقر فوقه لتشغيل البرنامج.
- عندما يكون محرر التسجيل مفتوحا، انتقل إلى HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- والنقر فوق اليسار على مفتاح Run . يجب أن ترى الآن في الجزء الأيسر قيمة تسمى Java كما هو موضح أدناه.
قيمة تسجيل جافا - الآن انقر بزر الماوس الأيمن على إدخال Java وحدد حذف كما هو موضح في الصورة أدناه.
حذف القيمة - عندما يطلب منك تأكيد رغبتك في حذف القيمة، انقر على الزر نعم .
- الآن إعادة تشغيل جهاز الكمبيوتر الخاص بك وعند تسجيل الدخول مرة أخرى، لن يتم تشغيل البرنامج الضار .
- انتقل الآن إلى %AppData% (عادة C:\users\[user_name]\appdata\roaming) ) المجلد ويجب أن تشاهد برنامج يسمى svchost.exe .
Svchost.exe في مجلد أبداتا - انقر بزر الماوس الأيمن على هذا الملف وحدد حذف لحذفه من الكمبيوتر.
- قم الآن بإجراء فحص باستخدام برنامج الأمان المثبت. إذا لم يكن لديك برنامج أمان، الآن قد يكون الوقت المناسب لتثبيت واحد.
- إذا كانت هذه البرامج الضارة بالفعل keylogger، قد تحتاج أيضا إلى النظر في تغيير كلمة المرور إلى أي مواقع قمت بتسجيل الدخول إلى بعد تثبيت هذا البرنامج كرونشيرول وهمية.
جهاز الكمبيوتر الخاص بك الآن نظيفة من البرامج الضارة المتعلقة بـ Crunchyroll hack.