【风险通告】云上Incaseformat 蠕虫病毒风险通告

  • A+
所属分类:安全漏洞

自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。




01

风险描述

该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。


02

简单分析

病毒行为:将自身拷贝至Windows目录下,并通过RunOnce注册表项实现自启动

【风险通告】云上Incaseformat 蠕虫病毒风险通告

通过注册定时器,定时检查系统时间,在预期时间内删除非系统盘的文件,并在根目录生成incaseformat.log文件。由于时间戳转换存在问题,导致最终发作时间推迟至今。

【风险通告】云上Incaseformat 蠕虫病毒风险通告


03

影响面情况


病毒的传播需要人为通过U盘,U盘使用的AutoRun自启动技术进行复制感染。公有云已无USB的攻击面,不受此病毒影响,针对专有云环境,阿里云云盾已发布规则对病毒行为进行防御拦截:


【风险通告】云上Incaseformat 蠕虫病毒风险通告


【风险通告】云上Incaseformat 蠕虫病毒风险通告

本文始发于微信公众号(阿里云先知):【风险通告】云上Incaseformat 蠕虫病毒风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: