最近新出现的一类新型木马，通过对剪贴板的监控，获取粘贴板内容，并且判断是否为货币交易地址，并且将其替换为自己的链接地址。目前，该木马正在全球范围内传播，并且国内也有不少用户受其感染。

木马分析

木马MD5值：f73731731b6503dc326bd9222047f18b

该木马的入口函数处为循环读取剪贴板数据：

读取剪贴板函数：

对剪贴板中的内容进行分析判断，如果是以太坊地址，则替换剪贴板中的链接地址：

替换地址为：

0x004D3416DA40338fAf9E772388A93fAF5059bFd5

如果不是以太坊地址（ETH），则检测是否为比特币（BTC）类型的地址（长度在25和40之间并且以1和3开头，满足Base58格式）

货币地址：

1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1

19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL