win32判断文件是否拷贝完毕_【病毒通告】伪装成系统文件的Phorpiex木马

尊敬的用户： 您好！  近日，据有关网络安全公司截获了伪装成系统文件的Phorpiex木马，Phorpiex是一种兼具蠕虫病毒和文件型病毒特性的僵尸网络病毒，能够借助漏洞利用工具包以及其他恶意软件进行传播。其主要通过投递、分发其它恶意病毒来获利，著名的Avaddon勒索病毒就是借助该僵尸网络进行投递。本次截获的Phorpiex木马将自身更名为svchost，伪装成微软系统文件，窃取用户的加密货币信息，删除用户的文件，访问URL下载恶意程序。亚信安全将其命名为：Worm.Win32.PHORPIEX.ANH。 攻击流程：

病毒详细分析：

 首先创建互斥体，防止重复运行。

:Zone.Identifier流用于弹窗警告，此处通过将病毒路径与:Zone.Identifier拼接，并通过DeleteFileW函数将拼接后的路径删除，关闭安全弹窗警告。

判断病毒路径是否包含svchost.字符串，如果不存在则向下执行。

扩展环境变量字符串%systemdrive%，生成随机数，在系统路径下创建文件夹。

将病毒自身复制为svchost.exe，放入新创建的文件夹中，并将文件夹及病毒文件属性设置为隐藏。

打开windows防火墙白名单注册表，将病毒文件加入白名单中。

添加注册表自启动项目。

 尝试运行病毒程序，运行成功后退出当前进程。

二次执行病毒文件，在病毒路径与svchost.exe字符串比对后，执行第二分支。

停用windows defender相关组件。

创建两个线程，分别用于窃取用户的加密货币及遍历文件操作。

以指定的格式获取用户的剪切板数据。

判断货币地址类型，若判断出货币种类，则将其改为黑客指定的地址，以此达到窃取用户加密货币的目的。

获取病毒文件路径，以可读写的方式打开病毒文件。

获取盘符信息，排除由explorer禁用的盘符。

判断各盘符下是否存在_\DriveMgr.exe文件，若存在则对其进行数据比对，比对错误就将其删除。

在各盘符下创建_文件夹，并将属性设置为隐藏，将病毒文件复制到_文件夹下更名为DriveMgr.exe

在每个远程驱动器中创建_文件夹并在其根目录中创建.lnk快捷方式

文件遍历，对搜索到如下后缀的文件执行删除操作。

使用dowhile循环，在_文件夹下创建以遍历到的文件名命名的文件夹。并通过位与运算，如果文件属性为文件夹，进行递归遍历。若不为文件夹，将其移动至_文件夹下。此操作是将用户的文件全部转移到_文件夹下，并将用户的文件夹全部删除。

从URL中获取数据。若从URL读取数据失败，则通过URLDownloadToFileW函数直接从URL下载该文件。

扩展环境变量字符串，以随机数创建文件，将从URL中获取的数据写入到文件中并删除安全弹窗警告。

对样本的Hash值进行比对，判断下载下来的文件是否完整和正确。

调用CreateProcessW执行文件，若执行不成功，则使用cmd命令执行。

安全产品解决方案

安全DDAN沙盒可以检测出其恶意行为。

安全建议 及时更新病毒码版本； 打开系统自动更新，并检测更新进行安装； 不要点击来源不明的邮件以及附件； 不要点击来源不明的邮件中包含的链接； 请到正规网站或者应用商店下载程序； 采用高强度的密码，避免使用弱口令密码，并定期更换密码； 尽量关闭不必要的端口； 尽量关闭不必要的网络共享；

*本文转载自亚信安全病毒公告