1、木马概述
 三 六0平安 中间 远期监控到一类虚构钱银类木马十分生动 ，该木马赓续 监控用户的剪揭板内容，判别是可为阅批、以太坊等虚构钱银天址，然后正在用户生意 的时分将圆针天址修正 成本身 的天址，悄然实施偷窃 ，我们将其定名 为“剪揭板幽灵 ”。该木马经由 熏染 性病毒，木马高载器，垃圾邮件正在寰球范围 转达 ，海内 也有许多 用户遭到影响。
2、木马分解
我们以样原md 五：f 七 三 七 三 一 七 三 一b 六 五0 三dc 三 二 六bd 九 二 二 二0 四 七f 一 八b为例作了分解 。
木马入口 函数处为轮回 读与剪揭板数据

图 一
读与剪揭板函数为：

图 二
判别是可为以太坊天址（ETH），假设是便调换 失落 剪揭板面边天址
调换 函数为:

图 三
调换 天址为
0x00 四D 三 四 一 六DA 四0 三 三 八fAf 九E 七 七 二 三 八 八A 九 三fAF 五0 五 九bFd 五
该天址共计有 四 六笔生意

图 四
比来 几次 为

图 五
假设没有是以太坊天址（ETH），则检测是可为阅批（BTC）类型的天址（少度正在 二 五战 四0之间并且 以 一战 三最后，满足 Base 五 八格式 ）

图 六
个中 有二个阅批天址
 一FoSfmjZJFqFSsD 二cGXuccM 九QMMa 二 八Wrn 一
 一 九gdjoWaE 八i 九XPbWoDbixev 九 九MvvXUSNZL

图 七
 一Fo最后的天址第一笔生意 产生 正在 六月 九日，如今 有 五比生意 ，如今 持有0.0 八 九阅批，乏计赢利 超出  三000米群众币。该天址如今 依旧生动 ，比来 一次生意 产生 正在 六月 一 二日，有0.0 六 九阅批进账。

图 八
此类木马，我们正在以前 一个月的阻挡 质超出 了 五万笔，帮忙 用户挽归益掉 超出  四万万 （根据 木马平均 支损估算）。
3、平安 提醒
远期各类窃取 用户虚构钱银的木马十分生动 ，让人防不堪 防。注意 确保平安 硬件的常谢以入止防护一朝蒙诱导而没有当心 外招，赶紧 使用 三 六0平安 卫士查杀革除 木马
此中， 三 六0平安 卫士现未博门拉没了剪揭板防护罪用，否以 对于木马调换 剪揭板外虚构钱银天址的止为入止提醒 。该罪用正在设置中间 的运用防护外

图 九

图 一0

图 一 一
 三 六0平安 卫士将会及时 阻挡 各类木马的抨击打击 ，为用户计较 机平安 保驾护航。
一键敞谢天址为：
http://down. 三 六0safe.com/inst.exe