《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > PCA編輯觀點(diǎn) > 關(guān)于Incaseformat病毒,你所應(yīng)知應(yīng)為

關(guān)于Incaseformat病毒,你所應(yīng)知應(yīng)為

2021-01-19
來(lái)源: 信息技術(shù)與網(wǎng)絡(luò)安全
關(guān)鍵詞: Incaseformat病毒

  事件追蹤

  2021年1月13日,Incaseformating病毒大面積爆發(fā),引起了用戶(hù)的恐慌。病毒的感染對(duì)象為windows操作系統(tǒng),中毒表現(xiàn)為除C盤(pán)其他數(shù)據(jù)分區(qū)全部被清空,只留下一個(gè)名為Incaseformat.log的文本文檔,該病毒也因此得名。

  2.png

  Incaseformat病毒時(shí)間戳為2007/3/3,2009年原始樣本首次出現(xiàn),2010年原始樣本惡意行為首次觸發(fā),2014年被篡改版本首次出現(xiàn),2021年被篡改后樣本惡意行為首次觸發(fā)。預(yù)計(jì)1月23日會(huì)再次觸發(fā)攻擊行為。

  3.png

  Incaseformat病毒為常規(guī)蠕蟲(chóng)病毒,目前已知唯一的傳播途徑為USB等接口的移動(dòng)設(shè)備,傳播能力較弱。主流的安全軟件在運(yùn)行狀態(tài)配置完善的前提下均能查殺此病毒,在廠商病毒庫(kù)中被命名為Worm.Win32.Autorun。

  蠕蟲(chóng)病毒主要作用于老舊版本的操作系統(tǒng)。多家主流安全廠商通告稱(chēng),經(jīng)客戶(hù)反應(yīng),該病毒感染了全國(guó)各區(qū)域各行業(yè)的部分計(jì)算機(jī)系統(tǒng),各地網(wǎng)信辦、數(shù)據(jù)監(jiān)測(cè)平臺(tái)及事業(yè)單位多進(jìn)行了警報(bào)。

  4.png

  (圖片轉(zhuǎn)載自360安全團(tuán)隊(duì))

  病毒分析

  Incaseformat病毒使用Borland Delphi語(yǔ)言編譯,原始文件名為Autorun.exe,產(chǎn)生衍生文件名為tsay.exe

  5.png

  原始文件運(yùn)行時(shí),衍生Tsay.exe被釋放在C:\windows\tsay.exe,病毒會(huì)偽裝文件夾圖標(biāo)。

  6.png

  病毒會(huì)創(chuàng)建注冊(cè)表鍵值:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

  以實(shí)現(xiàn)自啟動(dòng),并禁用顯示隱藏文件

  該病毒在電腦重啟后將執(zhí)行,釋放ttry.exe以執(zhí)行主邏輯。

  7.png

  此時(shí)除C盤(pán)外其它分區(qū)將被清空。該病毒將復(fù)制自身到每個(gè)被清空的分區(qū)根目錄下,命名為123并偽裝為文件夾圖標(biāo)并隱藏。還會(huì)強(qiáng)行篡改注冊(cè)表,導(dǎo)致系統(tǒng)中的“顯示系統(tǒng)隱藏文件”功能以及“顯示文件擴(kuò)展名”功能失效。故在被清空的分區(qū)中只能看到Incaseformat.log的文本文檔。

  8.png

  如果U盤(pán)插入被感染的計(jì)算機(jī),作為數(shù)據(jù)分區(qū)之一,同樣會(huì)被感染。被感染的U盤(pán)再插入其它主機(jī),其中的執(zhí)行文件會(huì)作為原始文件運(yùn)行。

  原始病毒與被篡改后病毒唯一的不同為Sysutils::DateTimeToTimeStamp庫(kù)函數(shù)所使用的全局變量IMSecsPerDay(一天的總毫秒數(shù))。函數(shù)庫(kù)內(nèi)代碼往往為人所忽略。此參數(shù)的變化使得攻擊事件被推遲到2021年1月13日。這可能是在測(cè)試過(guò)程中產(chǎn)生的bug,也可能是惡意人員有意為之。

  9.png

  處置建議

  如果發(fā)現(xiàn),主機(jī)有感染風(fēng)險(xiǎn)

  千!萬(wàn)!不!要!關(guān)!機(jī)!或!重!啟!

  可以使用主流安全軟件對(duì)系統(tǒng)進(jìn)行查殺,注意白名單要嚴(yán)格管理。

  如不具備安裝主流安全軟件的條件,可以:

  停止下列進(jìn)程:

  tsay.exe

  ttry.exe

  刪除下列文件:

  C:\windows\tsay.exe

  C:\Windows\ttry.exe

  刪除下列鍵值:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

  為防止病毒傳播,應(yīng)當(dāng)嚴(yán)格管理存儲(chǔ)介質(zhì)接入。

  由于該病毒未對(duì)文件執(zhí)行破壞或覆蓋操作,大部分被刪除數(shù)據(jù)存在還原的可能。對(duì)于重要或敏感數(shù)據(jù),請(qǐng)聯(lián)系專(zhuān)業(yè)機(jī)構(gòu)。

  (作者:王家和,研發(fā)工程師,主要研究方向:滲透測(cè)試)

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。