‼️Verifica a tua Clash For Windows ‼️ Hoje, o meu computador novo, que tenho há menos de uma semana, ficou infetado com vírus. Felizmente, não houve roubo de ativos e já troquei de Carteira.

A razão pela qual descobri foi porque estava a brincar com o telemóvel ao lado do computador ligado à tarde. Quando levantei a cabeça, vi o rato a mover-se e o computador entrou numa página que precisava de um código PIN. Pensei que o rato estava avariado e tentei controlá-lo, mas percebi que o outro estava a lutar comigo para clicar no fundo à direita. Não tive tempo de ver claramente o que ele estava a fazer, a minha mão foi mais rápida que a minha cabeça e pressionei diretamente o botão para reiniciar a máquina.

Porque o hardware e o sistema do computador (a imagem baixada do site oficial) foram instalados por mim, o software no novo computador não é muito, o que facilita a investigação, pode ser algum software baixado por vias não oficiais.

Depois, fiz o download do Huorong e do 360 e fiz várias análises profundas, obtendo os seguintes arquivos problemáticos:

Pode-se notar que há principalmente dois arquivos executáveis, um é o facation.exe no diretório do clash for windows, e o outro é o enqucz.exe em uma pasta oculta na pasta ~/Vedios. Como o clash for win já havia deletado o repositório há muito tempo, eu continuei usando por hábito. Nos últimos dias, ao baixar, pensei que poderia haver problemas, mas não levei isso a sério, e não esperava que isso acontecesse tão rapidamente.

Na outra máquina com a mesma versão do clash for win, não existe este arquivo chamado facation. Ao abrir o everything para pesquisar, vi que ele guardou minuciosamente os registros relacionados ao meu chrome:

Dentro de cada pasta há arquivos de log, que contêm muitas informações de navegação, como informações das páginas da web que abri, etc. (os arquivos são bastante grandes, não sei qual é a codificação, ainda não encontrei informações sobre chaves privadas), muito, muito assustador!

Outro arquivo enqucz.exe está muito bem escondido, não está no diretório clash, mas sim no diretório Vedio (não há nenhum vídeo no meu computador), pode-se ver que a data de criação é muito próxima aos arquivos relacionados ao facation.exe, ambos foram criados na noite de 7 de julho. Além disso, este está em uma pasta oculta, que não pode ser vista mesmo que o computador esteja configurado para mostrar arquivos ocultos ou ao digitar o comando ls; só pode ser visto digitando Get-ChildItem -Force no powershell.

Portanto, o programa vírus deve ter sido instalado a partir de cerca de 7 de julho, quando instalei o clash for win (porque o instalei várias vezes e não lembro bem a origem), permanecendo oculto no computador, e então, desde a noite passada, percebi que algo estava errado, pois o uso de memória do chrome estava extremamente alto e houve momentos em que a CPU subiu a 100%, apenas pensei que algum plugin tinha um bug e não prestei muita atenção, e então, esta tarde, controlaram o computador remotamente.

Processamento posterior: O antivírus fez várias varreduras, desativei todos os serviços relacionados ao controle remoto do Windows, deletei todos os arquivos relacionados ao clash e copiei o instalador do Clash Verge (repositório oficial) de um pen drive formatado de outro computador. Após transferir os ativos da carteira, desconectei a internet e mudei o PIN do computador; as outras senhas de login estão relativamente seguras, pois a maioria tem 2FA ativado. Mais tarde, preciso encontrar um tempo para reinstalar o sistema. (Só de pensar em reconfigurar o ambiente de desenvolvimento já me dá mal-estar)

Por fim, aconselho todos os amigos do web3 a não descarregarem nenhum software para computador a partir de fontes não oficiais, especialmente os que envolvem navegadores/software de entrada/software de proxy de rede/software de redes sociais.