360安全中心近期監(jiān)控到一類虛擬貨幣類木馬非�；钴S，該木馬不斷監(jiān)控用戶的剪貼板內(nèi)容，判斷是否為比特幣、以太坊等虛擬貨幣地址，然后在用戶交易的時(shí)候?qū)⒛繕?biāo)地址修改成自己的地址，悄悄實(shí)施盜竊，我們將其命名為“剪貼板幽靈”。該木馬通過(guò)感染性病毒，木馬下載器，垃圾郵件在全球范圍傳播，國(guó)內(nèi)也有大量用戶受到影響。

木馬分析

     我們以樣本md5：f73731731b6503dc326bd9222047f18b為例做了分析。

      木馬入口函數(shù)處為循環(huán)讀取剪貼板數(shù)據(jù)

圖1

      讀取剪貼板函數(shù)為：

圖2

      判斷是否為以太坊地址（ETH），如果是就替換掉剪貼板里面地址

      替換函數(shù)為:

圖3

      替換地址為

0x004D3416DA40338fAf9E772388A93fAF5059bFd5

      該地址總計(jì)有46筆交易

圖4

      最近幾次為

圖5

      如果不是以太坊地址（ETH），則檢測(cè)是否為比特幣（BTC）類型的地址（長(zhǎng)度在25和40之間并且以1和3開(kāi)頭，滿足Base58格式）

圖6

     其中有兩個(gè)比特幣地址

1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1

19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL

圖7

      1Fo開(kāi)頭的地址第一筆交易發(fā)生在6月9日，目前有5比交易，目前持有0.089比特幣，累計(jì)獲利超過(guò)3000元人民幣。該地址目前仍然活躍，最近一次交易發(fā)生在6月12日，有0.069比特幣入賬。

圖8

      此類木馬，我們?cè)谶^(guò)去一個(gè)月的攔截量超過(guò)了5萬(wàn)筆，幫助用戶挽回?fù)p失超過(guò)4千萬(wàn)（根據(jù)木馬平均收益估算）。

安全提醒

      近期各類竊取用戶虛擬貨幣的木馬非常活躍，讓人防不勝防。注意保證安全軟件的常開(kāi)以進(jìn)行防御一旦受誘導(dǎo)而不慎中招，盡快使用360安全衛(wèi)士查殺清除木馬

      此外，360安全衛(wèi)士已經(jīng)專門推出了剪貼板防護(hù)功能，能夠?qū)δ抉R替換剪貼板中虛擬貨幣地址的行為進(jìn)行提示。該功能在設(shè)置中心的應(yīng)用防護(hù)中

圖9

圖10

圖11

      360安全衛(wèi)士將會(huì)實(shí)時(shí)攔截各類木馬的攻擊，為用戶計(jì)算機(jī)安全保駕護(hù)航。

      一鍵開(kāi)啟地址為：http://down.360safe.com/inst.exe

標(biāo)簽： ssd 安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。