威胁Xin解析 | 警惕，Phorpiex僵尸网络化身Twizt带来新威胁

近日，亚信安全截获了Phorpiex病毒的最新变种“Twizt”，与之前版本不同的是，Twizt僵尸网络能够在没有 C&C 服务器的情况下成功运行，此次更新使僵尸网络变得更加稳定，以及更具威胁。亚信安全将Twizt命名为：

Worm.Win32.PHORPIEX.AOC。

关于Phorpiex

Phorpiex是一款具有蠕虫病毒特性的僵尸网络病毒，其主要通过投递、分发其它恶意病毒来获利。该病毒能够借助其他恶意软件进行传播，窃取用户的加密货币信息，删除用户的文件，访问URL下载恶意程序。

亚信安全产品解决方案

●亚信安全传统病毒码版本17.895.60，云病毒码版本17.895.71，全球码版本17.895.00，已经可以检测，请用户及时升级病毒码版本；

●亚信安全DDAN沙盒平台可以检测该僵尸网络：

安全建议

• 可临时使用TMCM的可疑对象(用户定义的对象)功能进行病毒检测；

• 不要点击来源不明的邮件以及附件；

• 不要点击来源不明的邮件中包含的链接；

• 请到正规网站或者应用商店下载程序；

• 采用高强度的密码，避免使用弱口令密码，并定期更换密码；

• 尽量关闭不必要的端口和网络共享。

病毒详细分析

创建Twizt互斥体，删除":Zone.Identifier"文件来避免弹出下载的安全弹窗；检测文件名，如果文件名不为 "winupsvc.exe"，则复制自身到 "%userprofile%\winupsvc.exe"，并设置自启动项。

创建两个线程，第一个线程用于监控机器上的剪切板，窃取加密货币信息；第二个线程遍历文件夹，将内部文件转移到另一文件夹中。

监控剪切板：

判断货币地址类型，若判断出货币种类，则将其改为黑客指定的地址，以此达到窃取用户加密货币的目的。

替换钱包：

获取盘符信息，排除由 explorer 禁用的盘符：

获取磁盘类型：

获取磁盘剩余大小：

判断各盘符下是否存在.\VolDriver.exe 文件，若不存在，则创建"."目录，并且将病毒文件复制到 .\VolDriver.exe：

创建指向VolDriver.exe的快捷方式：

删除根路径中具有以下扩展名的所有文件：

.lnk

.vbs

.js

.inf

.scr

.com

.jse

.cmd

.pif

.jar

.dll

.vbe

.bat

文件移动：

外联下载恶意信息，保存到本地，扩展环境变量字符串，以随机数创建文件，将从 URL 中获取的数据写入到文件中并删除安全弹窗警告：

随后执行：

BOT内容分析

使用SSDP来发现目标计算机本地网络中的网关设备，它通过 UDP 传输向239.255.255.250:1900发送“M-SEARCH”请求：

使用提供的 URL 查询本地路由器并解析 XML 响应：

为恶意软件使用的端口添加UDP和TCP端口映射，经测试，bot功能会外联185.215.113.66，其中一个端口为48755。

将病毒文件加入防火墙白名单中：