近日，亞信安全截獲了Phorpiex病毒的最新變種“Twizt”，與之前版本不同的是，Twizt僵尸網(wǎng)絡(luò)能夠在沒有 C&C 服務(wù)器的情況下成功運行，此次更新使僵尸網(wǎng)絡(luò)變得更加穩(wěn)定，以及更具威脅。亞信安全將Twizt命名為：

Worm.Win32.PHORPIEX.AOC。

關(guān)于Phorpiex

Phorpiex是一款具有蠕蟲病毒特性的僵尸網(wǎng)絡(luò)病毒，其主要通過投遞、分發(fā)其它惡意病毒來獲利。該病毒能夠借助其他惡意軟件進(jìn)行傳播，竊取用戶的加密貨幣信息，刪除用戶的文件，訪問URL下載惡意程序。

亞信安全產(chǎn)品解決方案

●亞信安全傳統(tǒng)病毒碼版本17.895.60，云病毒碼版本17.895.71，全球碼版本17.895.00，已經(jīng)可以檢測，請用戶及時升級病毒碼版本；

●亞信安全DDAN沙盒平臺可以檢測該僵尸網(wǎng)絡(luò)：

安全建議

• 可臨時使用TMCM的可疑對象(用戶定義的對象)功能進(jìn)行病毒檢測；

• 不要點擊來源不明的郵件以及附件；

• 不要點擊來源不明的郵件中包含的鏈接；

• 請到正規(guī)網(wǎng)站或者應(yīng)用商店下載程序；

• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

• 盡量關(guān)閉不必要的端口和網(wǎng)絡(luò)共享。

病毒詳細(xì)分析

創(chuàng)建Twizt互斥體，刪除":Zone.Identifier"文件來避免彈出下載的安全彈窗；檢測文件名，如果文件名不為 "winupsvc.exe"，則復(fù)制自身到 "%userprofile%\winupsvc.exe"，并設(shè)置自啟動項。

創(chuàng)建兩個線程，第一個線程用于監(jiān)控機(jī)器上的剪切板，竊取加密貨幣信息；第二個線程遍歷文件夾，將內(nèi)部文件轉(zhuǎn)移到另一文件夾中。

監(jiān)控剪切板：

判斷貨幣地址類型，若判斷出貨幣種類，則將其改為黑客指定的地址，以此達(dá)到竊取用戶加密貨幣的目的。

替換錢包：

獲取盤符信息，排除由 explorer 禁用的盤符：

獲取磁盤類型：

獲取磁盤剩余大?。?/p>

判斷各盤符下是否存在.\VolDriver.exe 文件，若不存在，則創(chuàng)建"."目錄，并且將病毒文件復(fù)制到 .\VolDriver.exe：

創(chuàng)建指向VolDriver.exe的快捷方式：

刪除根路徑中具有以下擴(kuò)展名的所有文件：

.lnk

.vbs

.js

.inf

.scr

.com

.jse

.cmd

.pif

.jar

.dll

.vbe

.bat

文件移動：

外聯(lián)下載惡意信息，保存到本地，擴(kuò)展環(huán)境變量字符串，以隨機(jī)數(shù)創(chuàng)建文件，將從 URL 中獲取的數(shù)據(jù)寫入到文件中并刪除安全彈窗警告：

隨后執(zhí)行：

BOT內(nèi)容分析

使用SSDP來發(fā)現(xiàn)目標(biāo)計算機(jī)本地網(wǎng)絡(luò)中的網(wǎng)關(guān)設(shè)備，它通過 UDP 傳輸向239.255.255.250:1900發(fā)送“M-SEARCH”請求：

使用提供的 URL 查詢本地路由器并解析 XML 響應(yīng)：

為惡意軟件使用的端口添加UDP和TCP端口映射，經(jīng)測試，bot功能會外聯(lián)185.215.113.66，其中一個端口為48755。

將病毒文件加入防火墻白名單中：