私钥被盗，扫到一个病毒，求大家帮忙看一下

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

周末钱包私钥被盗，损失惨重。私钥明文存在本地文本中，两台机器 linux/win10 中都有。其中 linux ssh 日志没有发现异常登录，win10 日志有点乱，似乎也没有被登录过。
win10 windows defender 没有扫到病毒，今天装了个火绒扫到一个程序报毒，名字是 FnHotkeyUtility.exe 。请求大家帮忙分析一下，文件是否就是通过这个程序泄露出去的。

病毒文件
链接: https://pan.baidu.com/s/18yAc_YyufZIuqXsFBImq_A?pwd=2jj7 提取码: 2jj7

分析平台结果
https://www.virustotal.com/gui/file/7acdae6297c8a70915eae326aaeb202b7fd7cab4436dbf65d17df682e5058098/detection

第 1 条附言 · 1 天前

损失大几千 U ，对方还登录 hyperliquid 交易所把我的仓位平仓、出金、转走。
教训就是不要存明文，二次加密后存文本没得问题。
现在想知道是不是从这里泄露出去的，如果不是的话，说明还有漏洞，那就更危险了。

第 2 条附言 · 1 天前

感谢 #15 楼老哥 @qq316107934 一波专业的分析👍

私钥

病毒

FnHotkeyUtility.exe

40 条回复 • 2025-11-14 16:20:06 +08:00

obeykarma

2 天前

FnHotkeyUtility.exe
是不是 lenovo 的笔记本，自带的 fn 按键实用工具？

玩币圈推荐 mac ，要不就是冷钱包

usn

PRO

2 天前

同推荐 mac+冷钱包

gegeligegeligo

2 天前 via Android

损失多少

cc9910

1 天前

一般没放服务器的话,大部分都是周围人盗的

allplay

1 天前 via Android

[一次愚蠢的代价，一堂昂贵的教训；一出离奇的大戏，一场未竟的追寻] 2022 年被盗 3000 万美元的复盘 @KuanSun1990
https://v2ex.com/t/1157933#reply10

真正的原因：输入法与数据库泄漏？

骗子的戏码告一段落后，我才逐渐冷静下来，重新去复盘整个事件的根源。为什么会同时有两把时间相隔 3 年生成的私钥泄漏？

经过多次复盘，目前最可能的路径是 —— 输入法与粘贴板泄漏。

我当时的操作习惯非常不安全：
• 私钥曾经在安卓手机和 Windows 电脑上输入、粘贴过（即使是断网）；
• 手机上装过各种破解软件，还用过第三方输入法（讯飞语音输入法）；
• 私钥甚至在微信里直接传过。

这些当年看似“无伤大雅”的行为，其实给攻击者留下了致命的入口。

Tron 事件中的当事人说是“billions pieces concated”（数十亿条拼接的数据），只花了 0.5 BTC 。这类数据库里混杂着海量剪贴板、输入法上传的数据，而我的私钥正好在其中。

这才解释了为什么两个生成时间完全不同的钱包会在同一次泄漏中一起暴露：
• 共同点是它们都曾在同一环境、同一输入法中出现过；
• 一旦输入法数据被打包流出，私钥就等于明码裸奔。

ysc3839

1 天前 via Android

@obeykarma 不能只看文件名，在 ProgramData 里面明显有问题

villivateur

1 天前

你是说助记词被盗了吗？这东西应该手抄在纸上吧？

Pichai

1 天前

去 x 找余烬。

buydip

1 天前

损失多少

Tiger511

1 天前

@allplay 助记词？私钥我都要用 rdrand 指令直接算，私钥随便文档形式，二进制层面写个程序乱序或者抽数扩数，一分二分三，算法可以很简单，脑子简单记住一个 2 位数字就可以扩展还原回来，或者简单些个 py 脚本，文档随便放，算到太阳系能量枯萎都算不出来

xiyuesaves

1 天前

路径看起来有点奇怪，和联想自带的驱动目录对不上

qq316107934

1 天前

这是 Remcos 远控，有很多能力的，有可能已经下载运行了很多衍生物，建议重装系统。

allplay

1 天前 via Android

联想的文件不会放到 uuid 的路径下面

allplay

1 天前 via Android

Windows 10 ，呵呵，微软都已经停止更新了。defender 估计也没有云查杀能力，不提供服务了。
微软不替你背锅哈

qq316107934

1 天前

帮你看了下具体行为，有偷取 Chrome(\AppData\Local\Google\Chrome\User Data\Default\Cookies 、\AppData\Local\Google\Chrome\User Data\Default\Login Data 获取 cookies.sqlite)、Firefox （从\AppData\Roaming\Mozilla\Firefox\Profiles\ 获取 key3.db ，IE ）获取 Cookies 的行为，你的账号都要小心了。
同时有 Keylogger ，会记录你的键盘输入。
通过修改注册表绕过 UAC （ HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA 0 ）
有远程文件下载和执行能力，以及远程命令执行能力。
有操控剪切版的能力。
文件固定释放写入：C:\ProgramData\03057f44-7eaf-424e-a534-790913b4a870\FnHotkeyUtility.exe

qq316107934

1 天前

@allplay Windows 10 虽已在 10 月 14 日终止支持，但微软确认其内置的 Microsoft Defender 将继续提供服务，持续更新反病毒和威胁检测功能，帮助用户抵御恶意软件及其他网络威胁： https://www.ithome.com/0/889/560.htm