最近新出现的一类新型木马,通过对剪贴板的监控,获取粘贴板内容,并且判断是否为货币交易地址,并且将其替换为自己的链接地址。目前,该木马正在全球范围内传播,并且国内也有不少用户受其感染。
木马分析
木马MD5值:f73731731b6503dc326bd9222047f18b
该木马的入口函数处为循环读取剪贴板数据:
读取剪贴板函数:
对剪贴板中的内容进行分析判断,如果是以太坊地址,则替换剪贴板中的链接地址:
替换地址为:
0x004D3416DA40338fAf9E772388A93fAF5059bFd5
如果不是以太坊地址(ETH),则检测是否为比特币(BTC)类型的地址(长度在25和40之间并且以1和3开头,满足Base58格式)
货币地址:
1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1
19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL
最新评论