前两天发现 ETH 、BTC 的钱包地址复制粘贴后会被替换,
ETH 被强制替换为:0xe2B7a0c7bC21E000B8327713513b9D4d2620A414
BTC 被强制替换为:36GSG5ZRMGoLFCGmFCSFYEow3QrT5Bjwdv
其它类型钱包地址暂未测试
1
brader 2021-03-04 16:22:16 +08:00
我觉得这是个很严重的问题,即使你当时解决了,也担心留下隐患,我建议你还是狠狠心,格盘后,重装系统吧,这是最保守的做法了。
|
2
7654 2021-03-04 16:31:00 +08:00
你是哪里复制的,也许你在网页上看到的和复制的不一样,在复制时已经替换了,实际系统剪切板并没有修改过 https://v2ex.com/static/img/doge.gif
|
4
brader 2021-03-04 16:41:32 +08:00 2
@7654 不关网页的事,这个是一个木马软件,已经出来好几年了,你可以去搜相关新闻,前几年数字货币大火,一些黑客想方设法盗取数字币,其中一种方式就是出了这样一款恶意程序,检测到用户复制的是数字货币地址,就替换成自己的地址导致用户转错帐。
|
5
kop1989 2021-03-04 16:44:36 +08:00 1
这病毒还算是有点过去病毒的艺术遗风。
比那种全盘加密勒索摊手要钱的强多了😂 |
6
Jirajine 2021-03-04 16:48:16 +08:00 via Android 1
Windows 上好像没有太好的办法,尝试 trace 一下 win32 api ?
先把非官方的、非开源的软件排查一下吧。 |
7
tankren 2021-03-04 16:55:22 +08:00
|
8
eason1874 2021-03-04 17:00:36 +08:00 2
想起以前的网址劫持,网址导航全部强制跳转到带推广尾巴的,HTTP 劫持,软件劫持,注册表劫持,DLL 劫持,甚至替换 explorer.exe
这方面的奇技淫巧太多了,很难排查,有一些会埋定时器,你现在排查到改正了,过一段时间定时器触发又会给你改回来 重装系统吧 |
9
zhyl 2021-03-04 17:07:49 +08:00 1
windows 可以试试火绒剑监听系统事件
|
10
realpg 2021-03-04 23:03:32 +08:00 1
如果你有不依赖杀毒软件的手动杀毒能力,那直接硬排查异常就行了
如果没有,就别研究了,老老实实重装系统,不装来源不明的软件,打好补丁就完事 |
11
no1xsyzy 2021-03-05 15:46:41 +08:00
Clipboard Format Spy 似乎可以看到 Owner
赞同 #8 的同时,我认为排除目前已知的问题,避免被带到下一个系统也是必要的 |
12
no1xsyzy 2021-03-05 15:47:08 +08:00
|
13
echome 2021-03-08 23:28:32 +08:00
windows 内核版本低的话 可试试一些常见的 ark 软件,看看 hook 就行 。
或者简单的是 process hacker 看下监控 |