一:木馬概述
360安全中心近期監控到一類虛擬貨幣類木馬非常活躍,該木馬不斷監控使用者的剪貼簿內容,判斷是否為比特幣、乙太坊等虛擬貨幣位址,然後在使用者交易的時候將目標位址修改成自己的位址,悄悄實施盜竊,我們將其命名為「剪切板幽靈」。 該木馬通過感染性病毒,木馬下載器,垃圾郵件在全球範圍傳播。
二:木馬分析
木馬入口函數處為迴圈讀取剪切板資料
讀取剪切板函數為:
判斷是否為乙太坊位址(ETH),如果是就替換掉剪切板裡面位址
替換函數為:
替換位址為
0x004D3416DA40338fAf9E772388A93fAF5059bFd5
該位址總計有46筆交易
最近幾次為
如果不是乙太坊位址(ETH),則檢測是否為比特幣(BTC)類型的位址(長度在25和40之間並且以1和3開頭,滿足Base58格式)
其中有兩個比特幣位址
1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1
19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL
1Fo開頭的位址第一筆交易發生在6月9日,目前有5比交易,目前持有0.089比特幣,累計獲利超過1.4萬。 該位址目前仍然活躍,最近一次交易發生在6月12日,有0.069比特幣入帳。
此類木馬,我們在過去一個月的攔截量超過了5萬筆,説明使用者挽回損失超過1.8億(根據木馬平均收益估算)。
三:安全提醒
近期各類竊取使用者虛擬貨幣的木馬非常活躍,讓人防不勝防。 注意保證安全軟體的常開以進行防禦一旦受誘導而不慎中招,儘快使用360安全衛士掃描清除木馬