记录一次粘贴板劫持病毒遭遇过程

发现病毒

周六发现在粘贴钱包地址时，总是会被替换成另外一个地址，于是意识到自己是遇到了粘贴板劫持。

粘贴板劫持是 web3 中黑客常用的一种病毒。原理是访问 windows 粘贴板内容，如果粘贴的文本内容中有一段哈希值是地址格式，便将其替换成黑客的钱包地址。由于 Windows 的粘贴板访问几乎无权限，所以这种病毒制作非常简单，也非常流行。该病毒一般不会破坏中毒者的电脑环境，也不妨碍中毒者进行正常作业，只是在中毒者进行钱包转账、发送钱包地址给其他人时，偷偷将粘贴板的地址替换成黑客的钱包地址，让转账者错误转账，以达到盗窃的目的。如果中毒者是一些比较粗心的人，转帐前不检查地址，很容易就会遭受重大损失。

这种病毒一般是由于中毒者乱点链接或者乱下东西而中毒的，比较常见的是一些挖矿程序、第三方钱包插件、telegram中的中文升级包等。
我回想了一下下载记录，应该是3.7 号左右下载了 telegram 中文升级包时，下载了该病毒。唉，所幸我提前发现了它，未造成重大损失。

解决方案

在网上搜了一下，也有很多人遭受了这种病毒，这种病毒虽然制作简单，逻辑简单，但是像屎一样粘人（不是说我碰过屎），有着几乎所有病毒的共性————藏得很深。而且用杀毒软件也扫不出来！！！

网上推荐了很多种办法，虽然对我都没用，但是我还是列出来吧，希望各位游客将来不会用到：

• 通过排查 Windows 启动程序 ： https://www.youtube.com/watch?v=8mEbarG3yuM
• 通过程序检查开机后哪些进程修改了粘贴板 : https://www.bilibili.com/video/BV14U4y1m74z/?spm_id_from=333.337.search-card.all.click

以上是排查该病毒的两种常见方式，可惜对我没啥用，于是我只能通过排查进程表中哪些可疑的进程，并找到相关文件，看看修改时间是否与最近贴合，然后关闭进程查看粘贴板劫持是否还存在。非常地耗时耗力，花了我一个下午，终于找出来了：

把它删除后，粘贴板劫持暂时不存在了。但是我不知道我电脑里还有没有其他病毒.....

希望各位读者以我为鉴，能用虚拟机环境的尽量使用虚拟机环境，千万不要乱点链接，不要在官网之外的地方下载东西！！！