MENU

记录一次粘贴板劫持病毒遭遇过程

March 10, 2024 • 阅读: 5662 • 笔记&折腾

发现病毒

周六发现在粘贴钱包地址时,总是会被替换成另外一个地址,于是意识到自己是遇到了粘贴板劫持。

粘贴板劫持

粘贴板劫持是 web3 中黑客常用的一种病毒。原理是访问 windows 粘贴板内容,如果粘贴的文本内容中有一段哈希值是地址格式,便将其替换成黑客的钱包地址。由于 Windows 的粘贴板访问几乎无权限,所以这种病毒制作非常简单,也非常流行。该病毒一般不会破坏中毒者的电脑环境,也不妨碍中毒者进行正常作业,只是在中毒者进行钱包转账、发送钱包地址给其他人时,偷偷将粘贴板的地址替换成黑客的钱包地址,让转账者错误转账,以达到盗窃的目的。如果中毒者是一些比较粗心的人,转帐前不检查地址,很容易就会遭受重大损失。

这种病毒一般是由于中毒者乱点链接或者乱下东西而中毒的,比较常见的是一些挖矿程序、第三方钱包插件、telegram中的中文升级包等。
我回想了一下下载记录,应该是3.7 号左右下载了 telegram 中文升级包时,下载了该病毒。唉,所幸我提前发现了它,未造成重大损失。

解决方案

在网上搜了一下,也有很多人遭受了这种病毒,这种病毒虽然制作简单,逻辑简单,但是像屎一样粘人(不是说我碰过屎),有着几乎所有病毒的共性————藏得很深。而且用杀毒软件也扫不出来!!!

网上推荐了很多种办法,虽然对我都没用,但是我还是列出来吧,希望各位游客将来不会用到:

以上是排查该病毒的两种常见方式,可惜对我没啥用,于是我只能通过排查进程表中哪些可疑的进程,并找到相关文件,看看修改时间是否与最近贴合,然后关闭进程查看粘贴板劫持是否还存在。非常地耗时耗力,花了我一个下午,终于找出来了:

粘贴板劫持病毒

把它删除后,粘贴板劫持暂时不存在了。但是我不知道我电脑里还有没有其他病毒.....

希望各位读者以我为鉴,能用虚拟机环境的尽量使用虚拟机环境,千万不要乱点链接,不要在官网之外的地方下载东西!!!

Last Modified: March 13, 2024
Leave a Comment

9 Comments
  1. mack mack

    我TM就中了这个病毒, 没事手不要欠 乱点其他文件 特别是需要下载安装包的

    1. @mack消灭了么#(喜极而泣)

  2. 原来还有这种病毒啊,长见识了。可是它识别钱包地址也不知道是哪种货币吧

    1. @Pampo应该是直接替换的 eth 链地址

  3. 五湖废人 五湖废人

    技术还得看黑客

  4. 电报中文包也能带病毒吗,可怕

    1. @w4j1e我也被吓到了#(咽气)

  5. 头一次听说这事,涨见识了!!!还好我没有那钱包地址,想知道下那串字符,是什么钱包的地址呀?没见过这种的。@(汗)

    1. @优惠券网站加密货币的钱包地址。