‼️Kiểm tra Clash For Windows của bạn ‼️ Hôm nay máy tính mới của tôi đã bị virus sau chưa đầy một tuần, may mắn là không có tài sản nào bị đánh cắp, hiện tôi đã đổi ví tiền.

Nguyên nhân phát hiện là vào buổi chiều máy tính mở và tôi đang chơi điện thoại bên cạnh, khi ngẩng đầu lên thấy chuột đang di chuyển, máy tính vào một trang cần nhập mã pin, tôi còn tưởng chuột hỏng nên cố gắng điều khiển, phát hiện bên kia đang tranh giành để nhấn vào góc dưới bên phải của giao diện. Chưa kịp nhìn rõ nó đang làm gì, tay nhanh hơn đầu nên tôi đã nhấn nút khởi động lại máy tính.

Bởi vì phần cứng và hệ thống máy tính (hình ảnh tải từ trang web chính thức) đều là do tôi tự cài đặt, phần mềm trên máy tính mới không nhiều nên dễ kiểm tra, có thể là một số phần mềm tải từ những nguồn không chính thức.

Sau đó, tôi đã tải về Hỏa Nhung và 360, quét sâu vài lần, và nhận được các tệp vấn đề sau:

Có thể thấy chủ yếu là hai tệp thực thi, một tệp ở thư mục của clash for windows là facation.exe, một tệp khác là enqucz.exe ở thư mục ẩn trong thư mục ~/Vedios. Bởi vì clash for win đã xóa kho từ lâu, chỉ là do thói quen nên tôi vẫn đang sử dụng, vài ngày trước khi tải về tôi cũng nghĩ có thể sẽ có vấn đề, chỉ là không để tâm, không ngờ lại nhanh chóng bùng nổ như vậy.

Tôi không có tệp gọi là facation trên phiên bản clash for win cùng loại trên máy tính khác, mở everything để tìm kiếm, thấy nó đã lưu lại tất cả các ghi chép liên quan đến chrome của tôi.

Trong mỗi thư mục có file log, chứa rất nhiều thông tin duyệt web của tôi như thông tin về các trang web đã mở, v.v. (file khá lớn, không biết mã hóa gì, tạm thời chưa tìm thấy có thông tin khóa riêng không), thật sự rất đáng sợ!

Một file enqucz.exe khác được giấu rất kỹ, không nằm trong thư mục clash, mà ẩn trong thư mục Vedio (trong máy tính của tôi không có bất kỳ video nào), có thể thấy thời gian tạo gần giống với các file liên quan đến facation.exe, đều vào buổi tối đến đêm ngày 7 tháng 7. Hơn nữa, file này nằm trong một thư mục ẩn, ngay cả khi máy tính đã mở hiển thị file ẩn hoặc nhập lệnh ls cũng không nhìn thấy, chỉ có thể thấy bằng cách nhập Get-ChildItem -Force trong powershell.

Vì vậy, chương trình virus có lẽ đã được cài đặt từ khoảng ngày 7 tháng 7 khi tôi cài đặt clash for win (bởi vì đã cài đi cài lại vài lần nên không nhớ rõ nguồn gốc), nó đã ẩn nấp trong máy tính, và từ tối qua tôi đã phát hiện ra điều gì đó bất thường, đó là bộ nhớ của chrome sử dụng rất cao và có khả năng đột ngột làm CPU chạy lên 100%, chỉ nghĩ rằng một tiện ích nào đó có lỗi nên không để ý lắm, rồi đến chiều nay thì máy tính đã bị điều khiển từ xa.

Xử lý sau: Phần mềm diệt virus đã quét nhiều lần, tắt tất cả các dịch vụ liên quan đến điều khiển từ xa của Windows, xóa tất cả các tệp liên quan đến clash và sao chép trình cài đặt Clash Verge (từ kho chính thức) từ một máy tính khác bằng USB đã được định dạng. Sau khi chuyển tài sản ví tiền, đã ngắt kết nối mạng và thay đổi mã PIN của máy tính, các mật khẩu đăng nhập khác do hầu hết đã bật 2FA nên tương đối an toàn. Một lúc nữa cần tìm thời gian để cài đặt lại hệ thống. (Nhớ đến việc phải cấu hình lại môi trường phát triển thì thấy khó chịu)

Cuối cùng, tôi khuyên tất cả bạn bè web3 không nên tải bất kỳ phần mềm máy tính nào từ các nguồn không chính thức, đặc biệt là những phần mềm liên quan đến trình duyệt/phương thức nhập liệu/phần mềm proxy mạng/phần mềm xã hội.