近日,亚信安全截获了Phorpiex病毒的最新变种“Twizt”,与之前版本不同的是,Twizt僵尸网络能够在没有 C&C 服务器的情况下成功运行,此次更新使僵尸网络变得更加稳定,以及更具威胁。亚信安全将Twizt命名为:
Worm.Win32.PHORPIEX.AOC。
关于Phorpiex
Phorpiex是一款具有蠕虫病毒特性的僵尸网络病毒,其主要通过投递、分发其它恶意病毒来获利。该病毒能够借助其他恶意软件进行传播,窃取用户的加密货币信息,删除用户的文件,访问URL*载下**恶意程序。
亚信安全产品解决方案
●亚信安全传统病毒码版本17.895.60,云病毒码版本17.895.71,全球码版本17.895.00,已经可以检测,请用户及时升级病毒码版本;
●亚信安全DDAN沙盒平台可以检测该僵尸网络:
安全建议
-
可临时使用TMCM的可疑对象(用户定义的对象)功能进行病毒检测;
-
不要点击来源不明的邮件以及附件;
-
不要点击来源不明的邮件中包含的链接;
-
请到正规网站或者应用商店*载下**程序;
-
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
-
尽量关闭不必要的端口和网络共享。
病毒详细分析
创建Twizt互斥体,删除":Zone.Identifier"文件来避免弹出*载下**的安全弹窗;检测文件名,如果文件名不为 "winupsvc*ex.e**",则复制自身到 "%userprofile%\winupsvc*ex.e**",并设置自启动项。
创建两个线程,第一个线程用于监控机器上的剪切板,窃取加密货币信息;第二个线程遍历文件夹,将内部文件转移到另一文件夹中。
监控剪切板:
判断货币地址类型,若判断出货币种类,则将其改为黑客指定的地址,以此达到窃取用户加密货币的目的。
替换钱包:
获取盘符信息,排除由 explorer 禁用的盘符:
获取磁盘类型:
获取磁盘剩余大小:
判断各盘符下是否存在.\VolDriver*ex.e** 文件,若不存在,则创建"."目录,并且将病毒文件复制到 .\VolDriver*ex.e**:
创建指向VolDriver*ex.e**的快捷方式:
删除根路径中具有以下扩展名的所有文件:
.lnk
.vbs
.js
.inf
.scr
.com
.jse
.cmd
.pif
.jar
.dll
.vbe
.bat
文件移动:
外联*载下**恶意信息,保存到本地,扩展环境变量字符串,以随机数创建文件,将从 URL 中获取的数据写入到文件中并删除安全弹窗警告:
随后执行:
BOT内容分析
使用SSDP来发现目标计算机本地网络中的网关设备,它通过 UDP 传输向239.255.255.250:1900发送“M-SEARCH”请求:
使用提供的 URL 查询本地路由器并解析 XML 响应:
为恶意软件使用的端口添加UDP和TCP端口映射,经测试,bot功能会外联185.215.113.66,其中一个端口为48755。
将病毒文件加入防火墙白名单中:
