video legend文件夹 近日，部分用户出现电脑GPU占用率高，电脑温度升高，风扇噪声

近日，部分用户出现电脑GPU占用率高，电脑温度升高，风扇噪声增大等问题。 具体现象为电脑中C盘可使用空间骤降，且在C盘Ethash文件夹内，发现存在大量的1G左右的垃圾文件；电脑闲置状态时，风扇转速增快，电脑发热增加，GPU使用率达到100%。非闲置状态时，恢复正常。video legend文件夹经过远程调试分析发现是看看影音在后台偷偷利用用户电脑的运算资源进行以太币（一种类似比特币的数字货币）挖矿导致。

[看看影音的版本和公司信息]

安装看看影音后，会注册组件%APP_DATA%\Video Legend\RBC\Program\RBCShellExternal.dll到注册表的explorer加载项，从而开机即可加载运行，然后通过 lua脚本控制，下载挖矿模块到本地利用GPU挖矿，整个流程如下图所示：

[看看影音挖矿行为整体流程简图]

RBCShellExternal.dll分析

该组件是一个商业功能模块，RBC是Remote Bussiness Control的缩写。顾名思义，这个模块可以通过远程配置来控制用户电脑上运行不同的模块，比如升级、修复、广告弹窗、推广安装等，也包括挖矿。video legend文件夹

RBCShellExternal.dll会通过rundll32.exe来加载模块RBCEntry.dll，并通过命令行参数来检测调试工具。

[加载RBCEntry.dll的命令行]

完整命令行如下：

参数/src指定了要加载的lua脚本模块(已打包成xar格式)，通过lua脚本来控制任务；参数/bkwndlist指定要查找的窗口标题，参数/bkprocesslist指定要查找的进程名，一旦枚举到指定的窗口或进程名，立刻结束进程，防止被用户发现。

LUA脚本分析

RbcEntry.dll封装了LUA引擎，加载后首先解析Rbc.xar，然后调用其中的.lua，启动整个脚本。Rbc.xar是任务调度模块，核心功能是从云端下载任务控制脚本并加载运行。

Rbc.xar解包后目录树如下：

.lua主要功能是加载各个脚本，代码如下：

[.lua加载脚本]

最后加载rbc.scheduler.lua里面包含了远程配置的任务脚本url：http:/***.kankan.com/rbc/taskschedule_v1.2.dat

[rbc.scheduler.lua调度脚本]

从各个函数名称可以看出，该脚本是主要功能是调度任务的运行。而脚本taskschedule_v1.2.dat则是真正的任务脚本。

taskschedule_v1.2.dat中配置了各种任务的参数，其中挖矿任务的参数配置块如下：

[挖矿任务脚本的参数配置块]

其中link就是该任务模块的下载地址，通常是xar包；frequency是执行频率；googleid和cnzzid是活跃统计标识。configurl是脚本里面使用的远程配置，主要是挖矿DLL模块的下载地址和MD5，具体内容请看下文。

任务模块下载后保存在%APP_DATA%\VideoLegend\RBC\Task目录下：

[%APP_DATA%\VideoLegend\RBC\Task下生成的各任务目录]

整理所有任务URL，如下：

其中***.kankan.com/rbc/partnerdll_v2.11.xar是挖矿任务控制脚本，md5为 8EF1948C5EA9B8113706CBFF1EBB8CF5；解包后只有一个脚本.lua，主要功能是根据配置参数configurl下载 deploy64.dll到%TEMP%目录下并加载运行。而deploy64.dll正是挖矿的主体模块。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/bofangqi/article-86042-1.html