随着加密货币市场的繁荣（说是泡沫也行），与之相应的黑客技术也在加紧迭代。近日，安全研究团队MarlwareHunterTeam和Guido Not Cissp就联合发现了一款名为Evrial的木马，它不但可以监视Windows中某些文本的剪贴板，替换剪贴板内容并盗取用户信息，而且还能替换加密货的支付地址和URL。

目前这款Evrial正在俄罗斯的一个黑客论坛上出售，你只要支付27美元，就可以访问一个网页，下载一个相关程序窃取木马，Evrial在窃取浏览器cookie和存储的凭据同时，还可以监视某些文本的Windows剪贴板，如果发现有用的信息，购买者还可以按需修改它的内容。

Evrial的俄罗斯黑市论坛

Evrial是如何替换剪交易地址

Evrial现在可对比特币，莱特币，门罗币，WebMoney，Qiwi地址和Steam交易网址进行修改，当Evrial检测到剪贴板中含有以上地址的字符串后，它会连接到远程地址，上传原有字符串，然后下载一个字符串作为替换，这一切都是悄无声息进行的，受害者很难意识到自己的地址被偷偷地替换掉。以下是操作的面板截图：

例如，用户在程序或网站输入的比特币地址都非常复杂，当有人向交换机或钱包发送比特币时，他们通常会将应发送到的地址复制到Windows剪贴板中，然后将该地址粘贴到正在执行发送其他应用程序或站点中。

当Evrial在剪贴板中检测到一个比特币地址时，它会用攻击者控制下的一个合法地址替换该合法地址。受害者然后将该地址粘贴到他们的应用程序，认为它的合法的，并没有意识到其被取代，并点击发送。成功替换地址后，当比特币被发送时，他们会转到攻击者的地址，而不是受害者想要的收件人。

Evrial检测到的字符串：

当Evrial检测到剪贴板中所支持的字符串时，它会连接到远程站点，上传原始字符串，然后下载一个字符串作为替换。

vrial还可以窃取比特币钱包密码，对目标桌面和活动窗口截图

除了监控和修改功能外，Evrial还可以窃取比特币钱包密码，对目标桌面和活动窗口截图，相关信息都被打包成压缩文件然后上传到攻击者的网址中。Evrial会扫描注册表并确认比特币钱包wallet.dat文件的位置，如果有密钥，它就会盗取比特币钱包。如下所示：

如下所示，wallet.dat位置被找出来。

Evrial也将尝试窃取浏览器中之前存储的凭据，Evrial能窃取的浏览器包括Chrome、Yandex、Orbitum、Opera、Amigo、Torch和Comodo。

Evrial也将尝试窃取存储在Pidgin和Filezilla中的凭据：

Evrial还可以窃取cookies：

所有这些数据以及活动窗口的屏幕截图都将被上传到远程服务器，以便攻击者可以访问它。

缓解措施

由于目前Evrial木马还处于野外利用阶段，还没有大规模的传播，因此还说不好它的预防方法，不过，保持良好的安全预防习惯应该是永不过时的对策。