Dzięki opisowi zgłoszonego buga, znaleźli na komputerze zgłaszającego malware (siedzący tam od pół roku)…

Tutaj jeden z użytkowników zgłosił następującego buga:

Kiedy kopiuje się tekst do schowka, czasem wklejanie daje złe wyniki. Jest to łatwo reprodukowalne w wersji demo Waszego oprogramowania.

When copying text, sometimes it gives the wrong results. It is very easy to reproduce in the demo version

Dokładniej rzecz biorąc wklejenie z systemowego schowka 33 jedynek wklejało tak naprawdę taki ciąg: 33yPjjSMGHPp8zj1ZXySNJzSUfVSbpXEuL

Dość szybko odezwał się jeden z deweloperów, zaproponował pewne testy oraz przygotował fixa:

Changed default Windows clipboard handler to expand LF to CRLF to fix clipboard corruption on some systems

Dodatkowo, została wykonana pewna analiza wpływu łatki na wydajność (wow!)

Since this bug seems to be extremely niche I took some basic performance metrics to see how the changes affected things. Unsurprisingly, the performance impact is negligible for a function called so rarely (and usually with very little data.) The results on my machine are summarized below (…).

Ktoś jednak był na tyle przytomny, że uświadomił zgłaszającemu, że najprawdopodobniej ma malware (cliptomaner) właśnie zmieniający wklejany ciąg znaków (jeśli pasował on do adresu bitcoinowego) na adres BTC atakującego.

Most probably @LPVOIDDev is infected with cliptomaner (see the Kaspersky report), a malware that searches the clipboard for strings that match a Bitcoin address pattern, and replaces them with a different address. 33yPjjSMGHPp8zj1ZXySNJzSUfVSbpXEuL is not gibberish but the replace (Bitcoin) address of the attacker.

Finalnie, hipoteza to okazała się prawdziwa, a wspominane wcześniej 33 jedynki pasowały do wzorca szukanego przez malware, stąd też takie a nie inne zachowanie zainfekowanego komputera.

–ms