video legend文件夹 近日，部分用户出现电脑GPU占用率高，电脑温度升高，风扇噪声(2)

configurl配置的脚本内容如下：

[挖矿任务脚本配置的DLL下载地址]

里面配置了deploy.dll的3个下载地址caburl、caburl_without、caburl_withoutwithdll，其 中caburl是编译了opencl的，caburl_without是没有编译opencl的，caburl_withoutwithdll是没有编译 opencl但打包了OpenCl.dll的。但脚本中总是去下载caburl，最后调用rundll32.exe加载Deploy64.dll运行：

[脚本调用rundll32.exe加载Deploy64.dll]

完整命令行如下：

其中参数index_class_d在taskschedule_v1.2.dat中的任务参数配置块中指定。

Deploy64.dll加载起来后就开始执行真正的挖矿代码了，是导致GPU使用率大增、电脑过热、C盘可用空间变小的真正元凶。

Deploy64.dll分析

Deploy64.dll加载后会创建2个线程：CSafeRT::MonitorThread和EthThread。其中CSafeRT::MonitorThread是监控线程，而EthThread是挖矿线程。

CSafeRT::MonitorThread

该线程会创建一个窗口，窗口类名为__deploy_CSafeRTImpl，窗口名称为__deploy_CSafeRTImpl_i_1_5，然后在窗口过程函数中检测调试器和枚举窗口，如果检测到被调试或有检测工具窗口存在则退出。

[检测到正在被调试则退出]

[检测到以上窗口标题则退出]

EthThread

Ethread是执行挖矿的主体线程，首先下载挖矿配置文件***.kankan.com/deploy/dtask%d_.ini，其中%d由传入参数index_class_d指定，目前0-7有效。该配置文件内容如下：

[挖矿配置文件]

读取配置字段后使用AES128算法解密，得到

[解密得到的挖矿参数]

然后拼接得到 :8888/0xFfB6faEF01A41330425ae1795601f6D3F7c1d762。

[启动挖矿参数]

传的参数给自身进程，开始挖矿。其中参数-G指定使用GPU挖矿，参数-F指定矿场url。挖矿开始后会在用户目录下生成Ethash目录，其中的挖矿数据文件格式如下，单个文件大小超过1.5GB。同时造成用户电脑GPU占用率飙升，电脑发热增大等现象。

[Deploy64.dll生成的挖矿文件]

以上就是看看影音利用用户电脑运算资源进行挖矿的整个过程分析。由于看看影音本身属于正常软件，通常被各安全软件直接信任，从而导致这种恶意行为难以被发现。目前毒霸可以查杀该恶意行为。

[毒霸拦截查杀挖矿病毒]

看了一下这流氓软件的钱包地址，富得流油：）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/bofangqi/article-86042-2.html