‼️Periksa Clash For Windows Anda ‼️ Hari ini komputer baru saya yang baru terpasang kurang dari seminggu terinfeksi virus, untungnya tidak ada aset yang dicuri, saat ini saya sudah mengganti Dompet.

Penyebabnya adalah pada sore hari, komputer menyala sementara saya bermain ponsel di samping. Ketika saya menengadah, saya melihat mouse bergerak, komputer masuk ke halaman yang memerlukan input pin. Saya mengira mouse-nya rusak dan mencoba mengontrolnya, tetapi saya menyadari bahwa ada pihak lain yang berusaha merebut untuk mengklik bagian belakang di sudut kanan bawah. Saya tidak sempat melihat dengan jelas apa yang sedang dilakukannya, tangan saya lebih cepat dari otak dan langsung menekan tombol restart paksa di casing.

Karena perangkat keras dan sistem komputer (image yang diunduh dari situs resmi) semuanya saya pasang sendiri, perangkat lunak di komputer baru tidak banyak sehingga lebih mudah untuk diperiksa, mungkin ada beberapa perangkat lunak yang diunduh melalui jalur non-resmi.

Kemudian saya mengunduh Huorong dan 360 untuk memindai beberapa kali, dan mendapatkan file masalah berikut:

Dapat ditemukan bahwa ada dua file eksekusi utama, satu di direktori clash for windows bernama facation.exe, dan satu di folder ~/Vedios dalam folder tersembunyi bernama enqucz.exe. Karena clash for win sudah lama menghapus database, hanya masalah kebiasaan saya terus menggunakannya, beberapa hari yang lalu saat mengunduh saya sebenarnya juga memikirkan kemungkinan akan ada masalah, hanya saja saya tidak menganggapnya serius, tidak menyangka akan segera meledak.

Saya tidak menemukan file yang disebut facation di clash for win versi yang sama di komputer lain, setelah membuka everything dan mencari, saya melihat bahwa ia menyimpan semua catatan terkait chrome saya dengan sangat rinci:

Di dalam setiap folder terdapat file log, yang berisi banyak informasi browsing saya, seperti informasi halaman web yang dibuka, dll (file cukup besar, tidak tahu encoding apa, sementara ini belum menemukan apakah ada informasi kunci pribadi), sangat sangat mengerikan!

File enqucz.exe lainnya tersembunyi sangat dalam, tidak berada di direktori clash, tetapi tersembunyi di direktori Vedio (tidak ada video di komputer saya). Dapat dilihat bahwa waktu pembuatan dan file terkait facation.exe sangat dekat, semuanya adalah sore hingga malam pada 7 Juli. Selain itu, ini berada di dalam folder tersembunyi, bahkan jika komputer menampilkan file tersembunyi atau memasukkan perintah ls, file ini tetap tidak terlihat, hanya bisa dilihat dengan memasukkan Get-ChildItem -Force di powershell.

Jadi, program virus seharusnya mulai terinstal di komputer saya sekitar tanggal 7 Juli ketika saya menginstal clash for win (karena saya sudah beberapa kali menginstalnya, jadi tidak terlalu ingat asalnya), terpendam di dalam komputer, lalu sejak tadi malam saya sebenarnya sudah menyadari ada yang aneh, yaitu penggunaan memori chrome sangat tinggi dan terkadang CPU tiba-tiba mencapai 100%, saya hanya mengira ada bug pada salah satu plugin dan tidak terlalu memperhatikan, lalu siang ini komputer saya diakses secara jarak jauh.

Tindakan pasca kejadian: Perangkat lunak antivirus telah memindai beberapa kali, menonaktifkan semua layanan terkait kontrol jarak jauh di Windows, menghapus semua file terkait clash dan menyalin program instalasi Clash Verge (repositori resmi) dari komputer lain menggunakan flashdisk yang sudah diformat. Setelah memindahkan aset dompet, saya memutuskan jaringan dan mengubah PIN komputer, sementara kata sandi login lainnya relatif aman karena sebagian besar sudah diaktifkan 2FA. Nanti saya perlu mencari waktu untuk menginstal ulang sistem. (Memikirkan untuk mengkonfigurasi ulang lingkungan pengembangan membuat saya tidak nyaman)

Akhirnya, saya sarankan kepada semua teman web3 untuk tidak mengunduh perangkat lunak komputer dari sumber tidak resmi, terutama yang terkait dengan perangkat lunak browser/input method/jaringan proxy/perangkat lunak sosial.