一:木馬概述
360安全中心近期監控到一類虛擬貨幣類木馬非常活躍,該木馬不斷監控用戶的剪貼板內容,判斷是否為比特幣、以太坊等虛擬貨幣地址,然後在用戶交易的時候將目標地址修改成自己的地址,悄悄實施盜竊,我們將其命名為“剪切板幽靈”。該木馬通過感染性病毒,木馬下載器,垃圾郵件在全球範圍傳播,國內也有大量用戶受到影響。
二:木馬分析
木馬入口函數處為循環讀取剪切板數據
讀取剪切板函數為:
判斷是否為以太坊地址(ETH),如果是就替換掉剪切板裡面地址
替換函數為:
替換地址為
0x004D3416DA40338fAf9E772388A93fAF5059bFd5
該地址總計有46筆交易
最近幾次為
如果不是以太坊地址(ETH),則檢測是否為比特幣(BTC)類型的地址(長度在25和40之間並且以1和3開頭,滿足Base58格式)
其中有兩個比特幣地址
1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1
19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL
1Fo開頭的地址第一筆交易發生在6月9日,目前有5比交易,目前持有0.089比特幣,累計獲利超過3000元人民幣。該地址目前仍然活躍,最近一次交易發生在6月12日,有0.069比特幣入賬。
此類木馬,我們在過去一個月的攔截量超過了5萬比,幫助用戶挽回損失超過4千萬(根據木馬平均收益估算)。
三:安全提醒
近期各類竊取用戶虛擬貨幣的木馬非常活躍,讓人防不勝防。注意保證安全軟件的常開以進行防禦一旦受誘導而不慎中招,儘快使用360安全衛士查殺清除木馬
此外,360安全衛士已經專門推出了剪切板防護功能,能夠對木馬替換剪貼板中虛擬貨幣地址的行為進行提示。該功能在設置中心的應用防護中
360安全衛士將會實時攔截各類木馬的攻擊,為用戶計算機安全保駕護航。
下面鏈接助你一鍵開啟剪貼板保護:
http://down.360safe.com/inst.exe
閱讀更多 360安全衛士 的文章