针对Twitter的新型恶意软件，构思最奇妙的病毒！

安全研究人员表示，他们发现了一种新型恶意软件，它可以从 Twitter 表情包隐藏的代码中获取指令。

恶意软件本身相对平庸：跟大多数原始的远程访问特洛伊木马（RAT）一样，该恶意软件会悄然感染存在漏洞的计算机，对屏幕进行截图并从受感染的系统中盗取其他数据，并发回到恶意软件的命令和控制服务器。

有趣的地方在于，该恶意软件把 Twitter 用作与其控制中枢进行通信的渠道。

网络安全厂商趋势科技（Trend Micro）在 一篇博客文章 中表示，该恶意软件会听从一个 Twitter 账户发出的指令，而该账户属于恶意软件的幕后黑手。研究人员发现，有两条推文使用信息隐藏技术在表情包图像中隐藏了“/print”指令，该指令是让恶意软件截取受感染计算机的屏幕图像。然后，恶意软件会从发布在 Pastebin 的一则帖子中获取命令和控制服务器所在的地址，把屏幕截图发送过去——毫无疑问，创意上可以给满分。

研究人员表示，发布到 Twitter 的表情包中可能包含了其他指令，比如获取当前运行应用和进程列表的“/processos”，盗取用户剪贴板内容的“/clip”，以及从特定文件夹检索文件名的“/docs”。

根据恶意软件分析服务 VirusTotal 完成的 哈希分析 ，该恶意软件最初似乎出现在 10 月中旬，也就是 Pastebin 上那则帖子 首次创建的时间。

但研究人员坦承，他们并不知道所有的答案，要完全搞清楚这个恶意软件还需要做更多的工作。目前尚不清楚这个恶意软件来自哪里，它如何感染受害者，以及幕后黑手是谁。同样不清楚的还有这个恶意软件意欲何为，或者说它的未来用途是什么。此外，研究人员也不知道为什么 Pastebin 上的那则帖子要指向一个本地的非互联网地址，这表明它可能只是未来攻击的概念验证。

尽管 Twitter 没有托管任何恶意内容，推文也不会导致恶意软件感染，但使用社交媒体来作为与恶意软件通信的方式，这的确是一种有趣的方式（但也算不上独一无二）。

其中的逻辑是这样的：通过使用 Twitter，恶意软件将跟“twitter.com”进行连接，跟其他似是而非的服务器地址相比，这个网址不太可能遭到反恶意软件的标记或拦截。

在趋势科技曝光了上述 Twitter 账户之后，Twitter 已经 永久性地冻结 了该账户。

这不是恶意软件或僵尸网络幕后黑手第一次使用 Twitter 作为他们与自己网络进行通信的平台。 早在 2009 年 ，就曾有人把 Twitter 用作向僵尸网络发送指令的渠道。在 较近的 2016 年 ，有一款安卓恶意软件会跟预先确定的 Twitter 账户进行通信，以此接收指令。