‼️Vérifiez votre Clash For Windows ‼️ Aujourd'hui, mon nouvel ordinateur, qui a moins d'une semaine, a été infecté par un virus, heureusement aucun actif n'a été volé, j'ai déjà changé de Portefeuille.

La raison de la découverte est que j'avais l'ordinateur allumé l'après-midi tout en jouant sur mon téléphone à côté. En levant les yeux, j'ai remarqué que la souris bougeait, et l'ordinateur est passé sur une page nécessitant l'entrée d'un code PIN. J'ai d'abord pensé que la souris était défectueuse et j'ai essayé de contrôler, mais j'ai découvert que l'autre personne essayait de me disputer pour cliquer sur le panneau de contrôle en bas à droite. Je n'ai pas eu le temps de voir ce qu'elle faisait, et ma main a été plus rapide que mon cerveau, j'ai directement appuyé sur le bouton de redémarrage forcé du boîtier.

Parce que le matériel et le système de l'ordinateur (l'image téléchargée depuis le site officiel) sont tous installés par mes soins, il y a peu de logiciels sur le nouvel ordinateur, ce qui facilite le diagnostic. Cela pourrait être des logiciels téléchargés par des moyens non officiels.

Puis j'ai téléchargé Huorong et 360 pour faire plusieurs analyses approfondies, et j'ai obtenu les fichiers problématiques suivants :

On peut constater qu'il y a principalement deux fichiers exécutables, l'un est facation.exe dans le répertoire de clash for windows, et l'autre est enqucz.exe dans un dossier caché dans ~/Vedios. Comme clash for win a déjà supprimé la base de données, c'est juste une question d'habitude que je continue à l'utiliser. Il y a quelques jours, en le téléchargeant, j'ai effectivement pensé qu'il pourrait y avoir un problème, mais je ne l'ai pas pris au sérieux, je ne m'attendais pas à ce que cela explose si rapidement.

Je n'ai pas ce fichier appelé facation dans la même version de clash for win sur un autre ordinateur. En ouvrant everything pour faire une recherche, j'ai constaté qu'il avait sauvegardé en détail mes enregistrements liés à chrome :

Chaque dossier contient des fichiers log, qui contiennent beaucoup d'informations sur ma navigation, comme les informations des pages web ouvertes, etc. (les fichiers sont assez volumineux, je ne sais pas quel est l'encodage, je n'ai pas encore trouvé s'il y a des informations de clé privée), c'est vraiment très effrayant !

Un autre fichier enqucz.exe est très bien caché, il n'est pas dans le répertoire clash, mais caché dans le répertoire Vedio (je n'ai aucune vidéo sur mon ordinateur). On peut voir que la date de création est très proche de celle des fichiers liés à facation.exe, tous deux étant datés du soir au soir du 7 juillet. De plus, celui-ci se trouve dans un dossier caché, même si l'ordinateur est configuré pour afficher les fichiers cachés ou si l'on entre la commande ls, il ne sera pas visible. Il faut entrer Get-ChildItem -Force dans PowerShell pour le voir.

Donc le virus a dû être installé depuis que j'ai installé clash for win vers le 7 juillet (car je l'ai réinstallé plusieurs fois, je ne me souviens plus trop de la source), il s'est ensuite caché dans l'ordinateur, et depuis hier soir, j'ai commencé à remarquer quelque chose d'étrange, c'est-à-dire que l'utilisation de la mémoire de Chrome est extrêmement élevée et qu'il y a une possibilité qu'il fasse soudainement grimper le CPU à 100%, je pensais juste qu'un plugin avait un bug et je n'y ai pas trop prêté attention, puis cet après-midi, l'ordinateur a été contrôlé à distance.

Traitement après coup : J'ai lancé un scan avec l'antivirus plusieurs fois, désactivé tous les services de contrôle à distance de Windows, supprimé tous les fichiers liés à Clash et copié le programme d'installation de Clash Verge (dépôt officiel) depuis une autre ordinateur avec une clé USB formatée. Après avoir transféré les actifs du portefeuille, j'ai changé le code PIN de l'ordinateur après avoir coupé la connexion Internet, les autres mots de passe de connexion sont relativement sûrs car la plupart ont 2FA activé. Plus tard, je dois trouver du temps pour réinstaller le système. (Penser à reconfigurer l'environnement de développement est pénible)

Enfin, je conseille à tous les amis du web3 de ne télécharger aucun logiciel informatique par des voies non officielles, en particulier ceux liés aux navigateurs / aux méthodes de saisie / aux logiciels de proxy / aux logiciels de réseaux sociaux.