潜伏10+年,蠕虫病毒incaseformat今日作恶!

admin 2021年1月13日21:16:38评论33 views字数 1606阅读5分21秒阅读模式

TAG: incaseformat 蠕虫 传播

TLP: 白(报告转发及使用不受限制)

日期: 2021-01-13


事件背景

近日,微步在线收到国内多家客户反馈办公设备被名为 incaseformat 蠕虫病毒感染,受害者机器中除了系统盘以外,其他文件全部被删除。

incaseformat 蠕虫病毒发现至今已有10多年历史,一般通过 U 盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为 incaseformat.log 的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。

威胁分析

incaseformat 蠕虫病毒运行后,会首先判断是否在系统盘目录下和自身文件名,随后进行自复制和设置注册表自启动,启动后判断自身文件路径是否为 "C:windowstsay.exe" 或者 "C:windowsttry.exe",当路径名为 "C:windowsttry.exe" 才会下一步运行。

潜伏10+年,蠕虫病毒incaseformat今日作恶!


然后在主要的恶意代码中,由于调用的函数“Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为“5A75CC4h(94854340ms)”,导致时间戳换算结果错误。

潜伏10+年,蠕虫病毒incaseformat今日作恶!

由于上述代码中时间换算上的错误,导致恶意代码逻辑判断出现错误,触发后续的文件删除功能。

潜伏10+年,蠕虫病毒incaseformat今日作恶!


手工排查方法

1. 检测是否存在以下文件:

  • C:Windowstsay.exe

  • C:Windowsttry.exe

潜伏10+年,蠕虫病毒incaseformat今日作恶!

2. 检测注册表路径 “HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce”是否存在“msfsa”项。

3. 如无法确定文件是否为恶意,可提交至微步在线S沙箱。

潜伏10+年,蠕虫病毒incaseformat今日作恶!

解决方案

  1. 办公设备不使用 U 盘等移动存储工具,在必要情况下,使用前进行 U 盘查杀。
  2. 不随便打开共享文件,并通过正规官方渠道下载软件。

  3. 关闭文件共享目录或者设置共享目录为只读模式。

  4. 保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等。

  5. 机器中招后首先进行查杀处置,清除病毒后,可使用第三方数据恢复工具尝试进行恢复。查杀工具可使用 USBCleaner(www.usbcleaner.cn) 或者其他杀毒软件。

总结

蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点,一般不具备针对特定目标性,并且无需人为干预即可进行不断的传播。一旦被感染意味着受害者本身也是传播节点之一。大部分蠕虫病毒已有专杀工具,可使用专杀工具对病毒进行清理。但感染蠕虫病毒可能会影响电脑使用以及数据丢失,所以预防感染蠕虫病毒还需提高自身安全意识,培养良好的办公习惯。



- END -


关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



潜伏10+年,蠕虫病毒incaseformat今日作恶!

本文始发于微信公众号(安全威胁情报):潜伏10+年,蠕虫病毒incaseformat今日作恶!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月13日21:16:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   潜伏10+年,蠕虫病毒incaseformat今日作恶!http://cn-sec.com/archives/241232.html

发表评论

匿名网友 填写信息