HackBoss：一种通过 Telegram 分发的盗取加密货币的恶意软件

加密货币的世界充满了趣味与玩味。随著比特币价值的每次上涨，越来越多人被吸引进这场数位资产的买卖、挖矿和交易游戏。然而，这个游乐场对诚实的玩家和恶意的坏人都充满了诱惑。专门用来窃取加密货币的恶意程式已经变成常态。

一种特定的恶意程式家族，名为 HackBoss，强调了失去加密货币的风险有多么容易。这是一种简单但非常有效的恶意程式，至今可能已从受害者手中窃取了超过 560000 美元。它主要通过 Telegram 进行散布。

设计来窃取加密货币的恶意程式分为三大类：

在过去一年中，这三类与加密货币相关的恶意程式加起来已成为野外最常见的恶意程式类型之中的第三位。

自 2020 年 3 月到 2021 年 3 月在野外出现的最常见的恶意程式类型

密码窃取器已经长期专注于加密货币。对于密码窃取器来说，加上窃取加密货币钱包的功能非常简单。这意味著现在很少能找到不搜索加密货币钱包的密码窃取器。因此，人们应该更加注意他们的密码、钱包和数位资产。

以下图表显示了从 2020 年 3 月到 2021 年 3 月，我们的用户基础每月受到加密货币窃取恶意程式的影响总数的变化。

自 2020 年 3 月到 2021 年 3 月的总影响数

同时期内三类恶意程式之间的分布如下。

自 2020 年 3 月到 2021 年 3 月加密货币窃取恶意程式类型的流行程度

HackBoss

HackBoss 是一种简单的加密货币窃取恶意程式，但其经济获益却相当可观。这款恶意程式最吸引人之处在于其传送方式。HackBoss 的创作者拥有一个 Telegram 频道，并将其用作散布恶意程式的主要来源。Telegram 频道是一种向大众广播公共消息的工具。任何人都可以订阅特定频道，并在每次新发布的帖子时得到手机通知。此外，只有频道的管理员有发帖权利，每个帖子都显示频道名称，而不是个人姓名。

HackBoss 恶意程式的作者拥有一个名为 Hack Boss 的频道因此得名此恶意程式家族，并将其宣传为提供最佳骇客软体骇入银行/约会/比特币的频道。该频道上应该发布的软体涵盖了从银行和社交网站的破解工具到各种加密货币钱包和私钥破解工具，甚至包含礼品卡代码生成器。然而，虽然每个宣传的应用程序都声称是某种骇客或破解应用，但实际情况却截然不同每个发布的帖子都仅包含隐藏作为骇客或破解应用的加密货币偷窃恶意程式。而且，该频道上发布的应用程序都没有提供任何承诺的行为，全部都是虚假的。

Hack Boss 频道成立于 2018 年 11 月 26 日，目前已有超过 2500 名订阅者。作者每月平均发布 7 篇帖子，每篇帖子大约被查看 1000 次。

来源自 telemetrio

在 Hack Boss 频道上宣传的伪破解或骇客应用的帖子通常包含一个连结，指向加密或匿名档案存储，从中可以下载该应用程序。帖子还包含应用程序功能的虚假描述和界面的截图。有时还会包含一个到名为 Bank God 的 YouTube 频道的连结该频道在发布时已被撤下，以及一个宣传视频。

下载应用后，作为 zip 档案，你可以运行其中的 exe 档案，显示出一个简单的用户界面。

用户界面示例

该应用本身并没有任何承诺的功能。它基本上只是展示的界面，可以打开文件目录或弹出窗口，但其主要的恶意功能是由受害者点击界面中的任何按钮触发。之后，一个恶意有效载荷会在 AppDataLocal 或 AppDataRoaming 目录中被解密并执行。它还可以设置为在启动时自动运行，通过在 HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun 注册表键中设置一个值，或者安排任务使恶意有效载荷每分钟重复运行。

恶意有效载荷的功能相当简单。它会定期检查剪贴簿内容，如果发现格式为加密货币钱包的内容，则会将其替换为自己的钱包地址。即使在应用程序的界面关闭后，恶意有效载荷仍会在受害者的计算机上运行。如果恶意过程被终止例如通过任务管理器，它还可以在启动时或接下来的每分钟通过安排任务再次触发。

虽然这款恶意程式本身并不复杂，但其效果却可能非常显著。如今许多人拥有一些加密货币并通过计算机应用程序发送加密货币。运行虚假应用程序，诱发恶意过程不断检查和交换剪贴簿内容，可能导致重大的经济损失。最终，受害者可能会在其计算机上启动有效的加密货币应用，并想要将真实的加密货币传送给他人。复制收款加密货币钱包地址会提示正在运行的恶意过程，后者会将该钱包地址替换为自己的地址。一个稍微不注意的使用者可能会在未注意到复制的钱包地址在此期间已经变更的情况下，按下付款按钮，从而遭受资产损失。

恶意行为者只需稍加努力推广简单的虚假应用程序，便能获得可观的金钱收益。这正是HackBoss 恶意程式创作者持续进行的行为。 Hack Boss Telegram 频道并不是他们宣传虚假应用的唯一场所。他们还拥有一个名为 cranhanblogspotcom 的博客，该博客仅包含宣传虚假应用的帖子，拥有多个 YouTube 频道和促销视频，并在公共论坛和讨论上发布广告。

我们自 2018 年 11 月以来有关此恶意程式在我们用户基础上的传播统计资料如下。

自 2018 年 11 月的点击次数

HackBoss 的金钱收益

我们收集了超过 100 个 HackBoss 作者的加密货币钱包地址，HackBoss 恶意程式会将剪贴簿中存在的钱包地址交换成他们自己的地址。完整的列表见 附录档案。HackBoss 检查的钱包地址格式来自于 Bitcoin、Ethereum、Dogecoin、Litecoin 和 Monero 加密货币，其中大部分都是比特币钱包。我们自 2018 年 11 月以来检查了这些钱包的收到资金，得到了如下数字：

加密货币 收到的金额 美元金额 比特币 843237903 BTC 约 54340949 USD 以太坊 6893571509 ETH 约 1643083 USD 莱特币 112499004 LTC 约 31319 USD 狗狗币 229938 DOGE 约 29758 USD 数据截至发布时

这使得自发布以来总收到金额约 56045108 美元。然而，一些地址不仅多次被报告为加密货币窃取的恶意程式，还被报告为诈骗，将受害者诱骗至购买虚假软体。这使得在 HackBoss 恶意程式范畴内的总收到金额不太准确。但是，我们依然观察到来自同一作者的 HackBoss 所交付的资金。

伪比特币发送器 一个 HackBoss 的例子

我们从 Hack Boss Telegram 频道中挑选了一个 HackBoss 恶意程式的样本，以提供有关其恶意核心功能的技术概述。选择的宣传伪应用程序名为 假比特币发送器。

假比特币发送器

除了接收和花费真正的加密货币，还可以玩弄虚假的币。市场上有很多生成虚假币并进行发送的应用程序。这类交易从不被确认，并会在 13 天内消失。这些虚假发送器的应用程序相当受欢迎，因为它们允许用户在无需支付的情况下与加密货币玩耍、恶作剧朋友，或用于测试目的。然而，这种娱乐可能带来意想不到的隐形危险。

假比特币发送器于 2020 年 12 月在 Hack Boss Telegram 频道及其博客上进行宣传。它还在多个网站和公共论坛的评论和讨论区进行广告，主要是在 2020 年 12 月 18 与 19 日。

在 funboxcomau 网站上宣传假比特币发送器应用程序

这些评论是由用户名称如 bittopInisp、bittopencum、bittoplaway、bittopPIP、bittopkek 和 bittopmeert 发表的。

该帖子提供了一个指向加密云存储的 megnz 档案下载连结，使用户可以下载假比特币发送器。在访问网址 https[]//mega[]nz/file/Mo5EnYxD#pQoaU0w2JqNVdqICrGuqaDuivlAbRfzjEthsnbTjk 后，可以下载包含恶意应用程序的 zip 包 BitcoAppzip。

获得假比特币发送器的另一种方式是访问 wwwprogs[]su 该网站成立于 2020 年 10 月 10 日。该页面会引导到以下下载页面：

progs[]su

向下滑动后，我们看到承诺获得发送虚假比特币的应用程序的文本：

progs[]su

在点击下载按钮后，我们被重定向到上述相同的 meganz 云存储。

解压下载的 BitcoAppzip 后，我们获得了一个可执行档 BitcoAppexe。运行它显示如下用户界面：

假比特币发送器用户界面

如果填写信息并点击发送，应用会在几秒钟内弹出一个 结果消息 的通知。

结果消息

不幸的是，娱乐部分就到此为止。并不会创建虚假的交易，但它具有作为非常现实的恶意程式的隐藏功能。

进程 BitcoAppexe 负责显示用户界面、弹出结果消息，同时还执行附加的恶意行为。恶意行为包括解密三个有效载荷 splwowexe、DefenderUpdateexe 和 Netdll，并将它们保存在 AppDataRoaming 目录中。

这个进程包含恶意核心。BitcoAppexe 在 AppDataRoaming 目录中创建一个名为 System 的资料夹，并在该资料夹中解密 splwowexe 有效载荷解密的恶意载荷最常见的文件名可以在 filenamestxt 找到。然后，它将其安排每分钟运行一次，执行命令：

schtasksexe /create /sc MINUTE /mo 1 /tn splwow /tr “CUsersltusernamegtAppDataRoamingSystemsplwowexe /f

被创建的 splwowexe 进程可以在所有运行中的进程列表中看到：

恶意的 splwowexe 进程在运行进程列表中

splwowexe 的主要功能是持续交换剪贴簿中的内容。

该代码在多个执行绪中运行，每个执行绪检查剪贴簿中存在的不同加密货币钱包地址格式。一旦发现，它便通过 ClipboradSetText() 函数将其替换为硬编码的 3DES 加密货币钱包。

以下是核心代码：

核心代码功能

BitcoAppexe 还在 AppDataRoaming 资料夹中创建一个名为 Defender 的目录，并在其中解密 DefenderUpdateexe 和 Netdll 有效载荷。

为了达成持久性，它将 DefenderUpdateexe 设定为启动时运行，通过在以下注册表键中设置 值来实现：

HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRunDefender

DefenderUpdateexe 解压并解密与 BitcoAppexe 在 System 资料夹中的相同有效载荷 splwowexe，并为 splwowexe 设置每分钟运行的相同任务。 Netdll 是一个包含提取和解密功能的 DLL，供 DefenderUpdateexe 使用。

结论

HackBoss 是一种简单的加密货币窃取恶意程式，自 2018 年 11 月以来可能已从受害者手中窃取了超过 560000 美元。其作者选择了滥用公共社交网站如 Telegram、YouTube 和公共论坛来推广伪装成各种骇客或破解应用的恶意程式。HackBoss 的主要散布来源是一个名为 Hack Boss 的 Telegram 频道，在该频道中，作者发布帖子宣传受害者可以下载的骇客或破解应用。不幸的是，这些应用均未如承诺那样运行，而是使受害者的计算机感染了窃取加密货币的恶意程式。HackBoss 在受害者的计算机上不断检查剪贴簿内容，如果出现钱包地址格式，就会将其交换为自己的钱包地址。这种行为对于一个不够警觉的受害者来说很容易被忽视，可能导致重大金钱损失。

当处理加密货币时，保持警觉非常重要。始终仔细检查你发送资产的钱包地址，使用双重身份验证来保护你的数位钱包，当然，还要安装 Avast，它可以帮助你防范像 HackBoss 这样的恶意程式。

受到影响的指标IoC

完整的 IoC 列表可在以下链接查看：https//githubcom/avast/ioc/tree/master/HackBoss

HackBoss

压缩档名称 Hash AirbnbComrar 4c916853ccd9e7337af557385fd5ef2e05a62f501b0cf4d7bbc3f9153d206350 Amazongiftcardgenrar 50d6a87fb43c486d4171dae91a2897a8652abc27d9067418ed48a2ae725ad5fe Amexrar 59f9ae970ffa26e31a8131a047c5c1415a1eb17b4bca76095282ca146932c61b Badoorar 65ac1ab8c60ec8bdd45f59ae07103e218a7c307afdd2ba92e3f687100914399a BadooBruteCheckerrar dfb9acd09e1303baade8c6d71e96489486f4b0471dfb42ea759e09919b717c6f BankCombainrar 2771ddf380b065f4887f4df271dbb5ecaeac845efe817d55676d41f09be81c78 BankCrackerrar 8be15479f95785054f28f65fe9898c7cec8daf29e14f737172e85c1dc3ddd15f BankToprar e32a4f828c556ab385a2bf66589bf8854ea9f370c5dfdd0e605911e8caaab73e Benaughtycomrar 26e17367a3276321cbd553a194a296b6a53ec5c107eed26c12f6a66d2bf8a1e6 BrutePrivKeyCrackerzip 1772628df187d1ea56f2d0fce1b257f2e19db1c03416f1c22fdf0841bba2ba6e BuildBTCrar dda2a8ee0b13e12ecfa37ba850ed6f91ac8af0383a6384eef59d91ca7828c5a4 BuilderStealerrar f78927e884724d7df3e274724f340aeb655e3bd6c6d88b9bc1cba36e56bef0d4 Chaserar 21bcb9f01c0cc8be4fc5455f0c30314ddcc6f799f9476682b048bbcf1c068b45 Citizensrar 77231fcce5af7f66dd1f94580150e0bea08c21119d81c4a831f38799b7076caa CombineBArar 8428f06ee038688fa3b024c53c51daa216b128d3d06166068811dfaca6fe7bbc ComboCreatrar d7d7765b51b7e793ac221a61bf2c9a34c614ec1b46d922cfea6bf71abe7891d1 DatinG0rar d54d41be67625e3298b906b93c7a9811242fe4c2c8bf6b81d7974239052ffd8d DatinGorar 68bef2af94a61a5a2195035cba23dba3de834fdf26603f6cda6b0856e776bb1e DatingIcorar 22f34a53ab5d2bb554159e695f336fe75dd4c8817721835e549251bfe11b7d7e DatingMixrar 83107aa69ddeca9b2b70e49ab2ca91468a3ee07c5aacf7b035b56cec10b536e0 Ebay BruteampCheckerrar d33571435803d75846f9ca0ebb81a1e2c2b859f2e5c4a709dac0571aaac9f348 Epayrar 796bab707bc08f7b79494a804a1c0c2d6c952bc4858f1d8daf8786767617ae8f FaceBookrar fa839f81049e00ce9981dce117df171939ecbd1c4ede2c47514387026d8fd9d6 GeneratorAndBrutePrivKeyBTCrar 5249ad1c26affa3b15bc2b73da39126621c4e426308bb4fd357d4cda4123ba1e HappyChaserar 3d490959cab777506c83ef1fdf4d273b992cb693e6a691b4af66c61f61583c12 MatchCheckrar a7776af49a25664e6cb1478cc6e8bc460dacdde95d3797e3ed35286d3c4ed604 MatchUSrar 5bd9a9113302e5ad7a866bcc95e81c931cb04b07b4cc00a5033376654e4c3422 MegaApirar 1ce5e30e8a74e5244bb8aceed2aba13a05cafb0d2612bfc3ee8d5a3921f9db88 Ourtimerar 5b6d1a5a7c4a7d2485bdbefd396f276c1c89e423a7c595f6abfe231f28a504e2 ParserLinkrar 01753bbd00642cc37e3ba5664b0dbddbe8ffa493e70988d599512d8668a12d0f PayFastrar 3243c113916d6ef4c44887329d8ec573f2f2d7eb3b061eb74976452282cc8825 PayPalBrutev2rar 2a76003a2c7e733f6bfd0468e267d32ace438b42dc6712e94be7a0e5f02bba87 Paypalrar 6235fcc30c58ac7855447ff924c132a04e1b11f658cd27622cf9ba52e2b0a182 Pof (by LulzSec)rar e55aafb86d3178ca43e67d730d643adb77bf055ce5779dd735dfd1b411879352 PofFullCheckerrar 13fd093ca563b252a48940dd1880754f3b2bbca54cb7b997fde1452df02e99f6 ProxyScraperar b3bf515dccf58ecba7f44f8df4dc6e25d280e9fa1af8082510f61f0cfa37f2fa SQLi Dumper v97 [Cracked By PCRET]rar dec28a54f8b014aa5dbed1ce034a1dc3b7acfcb950266418c0743e217292f0df SmtpCracker(Brute)zip 2983fa1d672d4dab194ed1d4cad1a0ea2a1dee6a76f9aa38253078f896174851 TelegramSenderrar f91005cf0286818d29812780a9c02e80cb8c4a9f9cc498a0b5a1cf3a5c2cad10 VisualStudioKeyrar c1b8b512fb9445bbe515c194de5e371ec5eedc980204629a32111e35b576104c WishShoprar 5c1b26c12de1517a105bb09eed20ff0624b6d60bc700025649e17715b6b4650a Zooskrar 4c46d0b5be84e91480c8b61cb7762ea8eb75d6878764d1aeefa4572e440a2e65 bankOnpointcurar 60ef02cba512e9908111bbb860d0ccd240d6aec8899a418ff67753632ef9fd15 bankandrewsfcurar 442dea1f0a964706cf6b1c94f39509289c0ad0b72918770d5993464f4b97e849 kitcorar f420f45b0eff9234d715f23b4081d4c3248558f90d9066e8d4533063c1e38d31

执行档名称 Hash Airbnbexe fc9f06517e92e119692d946ce97069d1948e35e224840598df56f71d8ae044d4 Airbnbexe 363ef27f603d6cf5e843bbf44e6ea4eec112e97f9577d1be703fb89e484e433b Amazongiftcardgenexe 4370fb6eb93d35a7ab15ea312f94371172f1e05065833efae335ac8ca904849b Amexexe 22764e629e6778155d8f8358726fd837b282ba1a16773844fcb10b4b8704d8c9 Badooexe 6d5c3d3be26d4a333d52c6c876bac64dc96c40d1f93dbb9580135aab94610baa Badoo2exe c373b1b88ee6cccf38b50d5cae2b43ff3c4042319fc2518b2b8d9ea28d5eb5c8 bankandrewsfcuexe 57e40581c5b12f5f0ed7d7c23c717c95653c573337b4a326367e24305089e78e bankOnpointcuexe 399921e9dced6491223ae31e4f56530310dc22e90b4241ff39c28c8b25fa841a BankComexe 57a859cf8d19c90623ed8598c282d94ead4caac81e4a27082f9c1ae44526f67c BankCombexe 7b41d2106ebd53ce23c0d50a245ec307108fb686664f7df310cf78975faa38cc BankCombexe 064b3a2ba31b755e3fb0699e40219d9700330c7d459b2c9e88aeb172b3be1810 BankCombainexe 28799f0feeb0214ec31dc0615a3526aea7a2f68b692bc30b2a362f163077ea17 BankCrackerexe 4386742e3238e6e347b394ae8b1d9dfd7070b63c06a91745dbb6c7825d866fbc BankTopexe 7466bf1fa87c77a3c7197d582d361be5e057d5286ba66962e03c56d515ba1336 Benaughtycomexe 908663aefb1ea1ee6fceacb99ffdd5595c247779278612a08b58f44bbf385085 BitcoinFakeTransactionexe c038cf88206371d35a0e89612d8781cdfa69cc37fc5391a8e92d252ac6b9f0b1 BitcoinFakeTransactionexe b97f51c35cef3c2325bbaaed3c38aa19513aa240864c506b83130d0bcaf686b9 Bruteexe ccdec5eb1e04a4b988b5ba71053b5957c2c88a258f5cc8816e27651491f950e4 BrutePrivKeyexe ddfb1f2638ede0a8ceda6136e99802b29fe8e5e3342edb14b21835434c194b95 BuildBTCexe c19a11f392b69827de83ba06761eff059741d084f0ec92c83d06bd4b794326a9 BuilderStealerexe ccb5ed92e25af56433933bbacffa1586d422c20a610b48a5e89c0344017e2748 Chaseexe 0e7614a4c207e6e0504f57ffe014447ca79127b5ae995b1a09af0adb427f2ac4 chimeexe 4c566cfbf8a37fdefa304cf0d3dc9a4c871d37d454991c51afbb2bd5ee22cca1 Citizensexe a79ac2f2a09a62facdc7ee9e21bb109a80ec6c082e13d85d705acdd21b4a387f coinocoexe 161c3ab9ab8c066109580e2bfdae1037ea0b567537a5b9a5e6278e219ca533bc Combineexe 47804fbb6bb7877cfdf15de99fd5b18f21ea6f9542ba2bc6e129563df8b7c2c0 Combineexe 3d06c30853f8bb370a2ecd7865f77f0b22932b6c7855c79d10cfb46eb7866766 ComboCreatexe a359a72b0a53aa21b52521b8128a2932b276947e33bdc01ea6cb5d8019e4cb71 Cracker Bitcoin private keyexe 2498572b0a767b4135dc8e8232c7ec7b546c933ed434e20ec8df3f3f45ac57fc DatinG0exe 3530fe5dc925b9568ca485c70893c57424e917d6f4e22e15ea4ccf24eab460cf DatingIcoexe bffc1199592463f2229b9ae48ee901bdc0515c955215bc9a171631d326cb409e DatingMixexe b1a878e39a4c2cd12bed9b1fc53d571104004841303ccee5c4dcd67b7e198d80 DatinGoexe aaf35ade093448c42c6d8bbe58d920584fd320ea91d879486186ef34622d7ea7 Ebay BruteampCheckerexe 09bd02e180fd3f92fb0115f6f768cd1af0b37ee1176b10e007f4bfec0d77e936 Epayexe d78f1228dba14133045707880cdd09bd5a4743703667286a41e1b43650e6065a FaceBookexe 7ba5855901a108e1f958b8d2683599e8bef82d7cfb2aac6c040d688d20534fe6 GeneratorAndBrutePrivKeyBTCexe 5ea5da6f2e52526a63258fe73973b9672e7d10055832ddf28c35204706143a5d GeneratorAndBrutePrivKeyBTCexe 199ff1923c908a8bc639cd80b5b0fe642222ea2dd58d64b4e2dbc5a01037c0ad HappyChaseexe f1461c68d1a2d73533671ba7d1cf11f40ab33f62c8e6eeae773a4da35c0e1ff4 IAmazomexe 38f33c2b9c2d676a230b3f71ab021abf1dd5572108e3679d8ea9a6bd95307ed9 IBCbankexe dac381361f911eef5ad9bb0ffcdf3d5a0a96c6d70e3f7ad15d3e729a417446f8 IControlexe 063ddc9af98e118677c1d40344bcea135390367f8e65d84a706e55ce103d4f5c MatchCheckexe 93fd746d55dcb8edd4f9095dac240e32680d15e663227e155516c035904d282f MatchUSexe e0222bd72fdc1ffa3241edf43d265852b0edcdb3d1bf003dc05b827ae1ef7042 MegaApiexe a0df556e936be91d4f61400616a3fc8dcafd6712ee467fccaaf12e7a12c1a0c7 MultiDatingexe d7628e77c593254925f3ea507d4c526b047fbc9c25d3ebdf716504b873dfdeab Ourtimeexe c8316f6a7409eade1d93d891243b6ede9d80e7c8e5d5957363a66b52dd59503e ParserLinkexe 21534511ec6bba6d02259f885353c81ef2330787f20481140496dca1ad84ec8f PayFastexe 763570ad58a8f0ef340343a02363f1cb49b7db75f02ca51a42608dc594472b3d Paypalexe 8ad5e0246fc81aaf2f3083829aa1d8419c281549b783bf2b97132a6388d559c5 Pofexe 2db410056ad808f6bd12721efbee012be5772cc9b72fc341058104c33c450059 PofFullCheckerexe 628435017444a119136d053e08f8a572a2b0af6cd55f06e329cde77d638cb647 ProxyScrapeexe 54c48dc70286b7106eb985c7ae3a5f02df1e7b3229e7d0a74051b3e8a67b32e4 SendTelegramexe 81d407f1ad372ccded9ca12cb5090a3af11fb402cd8b29491a78da693625a14c SmptSenderexe fe70e72f8bb0d202d5c26cf5c1319842a8830a76f6d727bfdc0d2b52c6438a63 SmtpCracker(Brute)exe 60342cdf85d553d1bee6e4b8d55b8e4e4417c792ae5f4c0d28211eb6767e3fbb SQLi Dumper v97exe 3998e2ba6588279a49570f61daef37d108e446db960b7a41a3c0bc8cfbfa271f VisualStudioKeyGenexe ee39590d55c8145534c30f5ffec1ae66f8ca8e31a319a1cb061b18587f6df7ce Wishexe f502e00ce95d2374c0bf98d259c97bc360c9112a61c36412f2abd7389486cdea WishShopexe bc08a9f9d7517bb53e62effdd012f6357adae47ffda41ea9206c772e24adc43f Zooskexe 853b97f7c3b9f01850e83aa8c57a21fd5f896ffc97f05034d6c8cd625a77a190

名称 Hash BitcoAppzip fb225c7902d5c876c9bbf4f4a48b047eb4e074838b8c8a4d6b9ad342c920710b BitcoAppzip d2610fe83ced2c92c42dc36365819d54b9ba6fdd77c7e7b728e37858547b9554 BitcoAppzip c6476784ff00d5fb5607716b225d4ab697f762e3d8aadd9c6a75320c13fc7734 BitcoAppexe 3eb8556e29da422b183d657e1cff09ff6abc66edd26aea6b87cfe710c8746502 BitcoAppexe db7832da08a75a827960f84974e18571d23bc698c80d239d8d126d11d70c8805 DefenderUpdateexe a42794ba75cc315f624f1df37b51f9981229b551873c73560545cc17f27d385c Netdll c4499f2a4d4509084d8eefeb7516665810d2224454c1e0005dcb80a656d648ff splwowexe e7c582be6c599ae1ef3a93dc6ee90154ee6230a177637e3a3be66614eba50673