近日,亚信安全截获了Phorpiex病毒的最新变种“Twizt”,与之前版本不同的是,Twizt僵尸网络能够在没有 C&C 服务器的情况下成功运行,此次更新使僵尸网络变得更加稳定,以及更具威胁。亚信安全将Twizt命名为:
Phorpiex是一款具有蠕虫病毒特性的僵尸网络病毒,其主要通过投递、分发其它恶意病毒来获利。该病毒能够借助其他恶意软件进行传播,窃取用户的加密货币信息,删除用户的文件,访问URL下载恶意程序。
亚信安全传统病毒码版本17.895.60,云病毒码版本17.895.71,全球码版本17.895.00,已经可以检测,请用户及时升级病毒码版本;
创建Twizt互斥体,删除”:Zone.Identifier”文件来避免弹出下载的安全弹窗;检测文件名,如果文件名不为 “winupsvc.exe”,则复制自身到 “%userprofile%winupsvc.exe”,并设置自启动项。
创建两个线程,第一个线程用于监控机器上的剪切板,窃取加密货币信息;第二个线程遍历文件夹,将内部文件转移到另一文件夹中。
判断货币地址类型,若判断出货币种类,则将其改为黑客指定的地址,以此达到窃取用户加密货币的目的。
获取盘符信息,排除由 explorer 禁用的盘符:
判断各盘符下是否存在.VolDriver.exe 文件,若不存在,则创建”.”目录,并且将病毒文件复制到 .VolDriver.exe:
删除根路径中具有以下扩展名的所有文件:
.lnk
.vbs
.js
.inf
.scr
.com
.jse
.cmd
.pif
.jar
.dll
.vbe
.bat
外联下载恶意信息,保存到本地,扩展环境变量字符串,以随机数创建文件,将从 URL 中获取的数据写入到文件中并删除安全弹窗警告:
BOT内容分析
使用SSDP来发现目标计算机本地网络中的网关设备,它通过 UDP 传输向239.255.255.250:1900发送“M-SEARCH”请求:
使用提供的 URL 查询本地路由器并解析 XML 响应:
为恶意软件使用的端口添加UDP和TCP端口映射,经测试,bot功能会外联185.215.113.66,其中一个端口为48755。
原文始发于微信公众号(亚信安全):威胁Xin解析 | 警惕,Phorpiex僵尸网络化身Twizt带来新威胁