近日输油管上出現很多有关“ *** C *** 器”的宣传广告视频，称为该专用工具能为用户完全免费形成 *** C，事实上确是一个散播Qulab信息内容窃取和剪贴板被劫持木马的故意个人行为。

该主题活动由安全性研究者Frost发觉，他表明已对于此事木马个人行为跟踪了半个月上下，每一次发觉相近视频并汇报的情况下，YouTube都是会迅速将视频删掉并禁封相对用户，但不能根除，迅速又具新的帐户出現提交相近视频。

视频发帖人

视频的內容是详细介绍一个称为能够完全免费形成 *** C的专用工具，并附加下载地址，该专用工具事实上是一个木马程序流程，及其一个网站的连接。如图所示：

木马宣传策划视频

当用户点一下视频中的下载地址时，会自动跳转到一个Setup.exe文件的下载网页。假如用户免费下载并运作该文件，则电子计算机内可能被嵌入Qulab木马。

程序流程下载网页

Qulab木马

这一YouTube骗术中消息推送的恶意软件是Qulab信息内容窃取和剪贴板被劫持木马。程序运行后，木马会将本身拷贝到%AppData%\\amd64_microsoft-windows-netio-infrastructure\\msaudite.module.exe这一部位并运行。

依据Fulaik0有关Qulab上的文章内容能够掌握到，Qulab木马会窃取用户电脑浏览器历史数据、储存电脑浏览器凭证、cookie，及其FileZilla、Discord和Steam中储存到凭证。该木马还会继续从电子计算机中窃取.txt、.maFile和.wallet文件。

此外，QUlab还会继续变成剪贴板被劫持程序流程或限幅器，换句话说它能够监管Windows剪贴板中出現的数据信息，而且在检验到数据信息时，还能将其与 *** 攻击要想的不一样数据信息作出互换。在当今的进攻情景中，Qulab会找寻早已拷贝到剪贴板中的加密货币详细地址，并将其互换出去。

因为加密货币的详细地址是长字符串数组而且无法口头上记忆力，因此许多 用户都不容易发现她们所纪录的详细地址早已被偷偷地换为了其他內容， *** 攻击能够根据这类 *** 大张旗鼓窃取加密货币。

Fumik0_的分析表明Qulab适用下列Clipper部件的加密货币详细地址：

在编译程序失窃数据信息时，木马程序流程会根据Telegram将其发给 *** 攻击，以下所显示：

假如悲剧感染了该木马，请马上变更常见帐户及其网址的登陆密码。再度提议，请试着应用密码管理器为每一个帐户建立唯一且强劲的登陆密码。