‼️¡Revisa tu Clash For Windows! ‼️ Hoy mi computadora nueva, que tiene menos de una semana, se virusó. Afortunadamente, no se robaron activos, y ya he cambiado de Billetera.

La razón del descubrimiento fue que por la tarde tenía la computadora encendida mientras jugaba con el teléfono al lado. Al levantar la vista, vi que el mouse se movía, la computadora entró en una página que requería ingresar un código PIN. Pensé que el mouse estaba roto y traté de controlarlo, pero descubrí que la otra parte estaba luchando conmigo por hacer clic en la parte inferior derecha del fondo. No tuve tiempo de ver claramente qué estaba haciendo, así que mi mano fue más rápida que mi mente y presioné el botón de reinicio forzado en la carcasa.

Porque el hardware y el sistema del ordenador (la imagen descargada desde el sitio oficial) son instalados por mí, y con el nuevo ordenador hay pocos programas, lo que facilita la búsqueda de problemas; podría ser algún software descargado por medios no oficiales.

Luego descargué Huorong y 360, y realicé un análisis profundo varias veces, obteniendo los siguientes archivos problemáticos:

Se puede encontrar que hay principalmente dos archivos ejecutables, uno en el directorio de clash for windows llamado facation.exe, y otro en una carpeta oculta dentro de ~/Vedios llamado enqucz.exe. Debido a que clash for win ya había eliminado la base de datos, solo es una cuestión de costumbre que sigo usando. Hace unos días, cuando lo descargué, en realidad pensé que podría haber problemas, pero no le di importancia, no esperaba que estallara tan pronto.

En la misma versión de clash for win en otra computadora no tengo este archivo llamado facation. Abrí everything para buscar y vi que guardó meticulosamente todos mis registros relacionados con chrome:

Dentro de cada carpeta hay archivos log que contienen mucha información sobre mi navegación, como la información de las páginas web abiertas, etc. (los archivos son bastante grandes, no sé qué codificación tienen, no he encontrado si hay información de claves privadas), ¡es muy, muy aterrador!

Otro archivo enqucz.exe está muy escondido, no está en el directorio clash, está oculto en el directorio Vedio (no tengo ningún video en mi computadora), se puede ver que la fecha de creación es muy cercana a la de los archivos relacionados con facation.exe, todos son del atardecer a la noche del 7 de julio. Además, este está en una carpeta oculta, ni siquiera se puede ver al abrir la computadora mostrando archivos ocultos o al ingresar el comando ls, solo se puede ver ingresando Get-ChildItem -Force en PowerShell.

Así que el virus debería haber comenzado a instalarse en mi computadora alrededor del 7 de julio cuando instalé Clash for Win (porque lo instalé varias veces y no recuerdo bien la fuente). Estuvo latente en la computadora y luego, desde anoche, noté algo extraño: el uso de memoria de Chrome era extremadamente alto y había ocasiones en que el CPU subía al 100%. Solo pensé que algún complemento tenía un error y no le presté mucha atención, y luego esta tarde controlaron mi computadora de forma remota.

Manejo posterior: El software antivirus escaneó varias veces el disco, se desactivaron todos los servicios relacionados con el control remoto de Windows, se eliminaron todos los archivos relacionados con Clash y se copió el programa de instalación de Clash Verge (repositorio oficial) desde otra computadora usando una memoria USB formateada. Después de transferir los activos de la billetera, se cambió el PIN de la computadora y se desconectó de Internet; las otras contraseñas de inicio de sesión están relativamente seguras porque la mayoría tiene 2FA activado. Más tarde necesito encontrar tiempo para reinstalar el sistema. (Pensar en reconfigurar el entorno de desarrollo me molesta)

Por último, se recomienda a todos los amigos de web3 que no descarguen ningún software para computadora de fuentes no oficiales, especialmente aquellos relacionados con navegadores / teclados / software de proxy / software de redes sociales.