【风险通告】云上Incaseformat 蠕虫病毒风险通告

admin 2021年1月14日18:29:20评论44 views字数 592阅读1分58秒阅读模式

自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。




01

风险描述

该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。


02

简单分析

病毒行为:将自身拷贝至Windows目录下,并通过RunOnce注册表项实现自启动

【风险通告】云上Incaseformat 蠕虫病毒风险通告

通过注册定时器,定时检查系统时间,在预期时间内删除非系统盘的文件,并在根目录生成incaseformat.log文件。由于时间戳转换存在问题,导致最终发作时间推迟至今。

【风险通告】云上Incaseformat 蠕虫病毒风险通告


03

影响面情况


病毒的传播需要人为通过U盘,U盘使用的AutoRun自启动技术进行复制感染。公有云已无USB的攻击面,不受此病毒影响,针对专有云环境,阿里云云盾已发布规则对病毒行为进行防御拦截:


【风险通告】云上Incaseformat 蠕虫病毒风险通告


【风险通告】云上Incaseformat 蠕虫病毒风险通告

本文始发于微信公众号(阿里云先知):【风险通告】云上Incaseformat 蠕虫病毒风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年1月14日18:29:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】云上Incaseformat 蠕虫病毒风险通告http://cn-sec.com/archives/242119.html

发表评论

匿名网友 填写信息