近日,亚信安全截获了Phorpiex病毒的最新变种“Twizt”,与之前版本不同的是,Twizt僵尸网络能够在没有CC服务器的情况下成功运行,此次更新使僵尸网络变得更加稳定,以及更具威胁。亚信安全将Twizt命名为:
Worm.Win32.PHORPIEX.AOC。
关于Phorpiex
Phorpiex是一款具有蠕虫病毒特性的僵尸网络病毒,其主要通过投递、分发其它恶意病毒来获利。该病毒能够借助其他恶意软件进行传播,窃取用户的加密货币信息,删除用户的文件,访问URL下载恶意程序。
亚信安全产品解决方案
●亚信安全传统病毒码版本17..60,云病毒码版本17..71,全球码版本17..00,已经可以检测,请用户及时升级病毒码版本;
●亚信安全DDAN沙盒平台可以检测该僵尸网络:
安全建议
可临时使用TMCM的可疑对象(用户定义的对象)功能进行病毒检测;
不要点击来源不明的邮件以及附件;
不要点击来源不明的邮件中包含的链接;
请到正规网站或者应用商店下载程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口和网络共享。
病毒详细分析
创建Twizt互斥体,删除":Zone.Identifier"文件来避免弹出下载的安全弹窗;检测文件名,如果文件名不为"winupsvc.exe",则复制自身到"%userprofile%\winupsvc.exe",并设置自启动项。
创建两个线程,第一个线程用于监控机器上的剪切板,窃取加密货币信息;第二个线程遍历文件夹,将内部文件转移到另一文件夹中。
监控剪切板:
判断货币地址类型,若判断出货币种类,则将其改为黑客指定的地址,以此达到窃取用户加密货币的目的。
替换钱包:
获取盘符信息,排除由explorer禁用的盘符:
获取磁盘类型:
获取磁盘剩余大小:
判断各盘符下是否存在.\VolDriver.exe文件,若不存在,则创建"."目录,并且将病毒文件复制到.\VolDriver.exe:
创建指向VolDriver.exe的快捷方式:
删除根路径中具有以下扩展名的所有文件:
.lnk
.vbs
.js
.inf
.scr
.