最近新出现的一类新型木马,通过对剪贴板的监控,获取粘贴板内容,并且判断是否为货币交易地址,并且将其替换为自己的链接地址。目前,该木马正在全球范围内传播,并且国内也有不少用户受其感染。

木马分析

木马MD5值:f73731731b6503dc326bd9222047f18b

该木马的入口函数处为循环读取剪贴板数据:

通过剪贴板盗取数字货币的木马-RadeBit瑞安全

读取剪贴板函数:

通过剪贴板盗取数字货币的木马-RadeBit瑞安全

对剪贴板中的内容进行分析判断,如果是以太坊地址,则替换剪贴板中的链接地址:

通过剪贴板盗取数字货币的木马-RadeBit瑞安全

替换地址为:

0x004D3416DA40338fAf9E772388A93fAF5059bFd5

如果不是以太坊地址(ETH),则检测是否为比特币(BTC)类型的地址(长度在25和40之间并且以1和3开头,满足Base58格式)

通过剪贴板盗取数字货币的木马-RadeBit瑞安全

货币地址:

1FoSfmjZJFqFSsD2cGXuccM9QMMa28Wrn1

19gdjoWaE8i9XPbWoDbixev99MvvXUSNZL