incaseformat病毒分析

admin 2021年3月1日18:52:24SecIN安全技术社区评论1,892 views1564字阅读1分52秒阅读模式

1 概述

2021年1月13日,一款古老的病毒爆发,删除除C盘外其他盘符文件,并通过共享文件,U盘等方式传播。

该病毒由于“bug” 导致时间计算错误,致使2021年1月才爆发,潜伏十余年。

不过经分析人员分析,出现bug是库函数,系统bug可能性很小,极有可能是人为修改的变种。

最近的一次发作日期是 2021年1月23日,后续在2021年上半年还至少有这些发作日期:

incaseformat病毒分析

2 样本分析

将自身复制到%windir%/tsay.exe,并修改注册表设置开机自启以达到维持目的。

incaseformat病毒分析

设置隐藏窗口

incaseformat病毒分析

定时器1:

枚举磁盘C~Z,当磁盘介质为可移动磁盘或硬盘时,将其加入到链表中。因此该病毒也可以通过移动磁盘进行传播。

枚举链表根目录文件和文件夹,保存在链表里。

incaseformat病毒分析

寻找非系统文件,并将该文件夹设置为隐藏属性后,将自身拷贝为“该文件名.exe”。

incaseformat病毒分析

定时器2:

获取当前时间,在2009年3月份之后的1、10、21、29日删除磁盘下的文件和文件夹。

incaseformat病毒分析

但是由于样本中DateTimeToTimeStamp 函数中 IMSecsPerDay 变量(一天的总毫秒数)的值错误,导致计算当前时间错误,直到2021年1月才被计算为2010年4月,病毒开始爆发,开始删除文件。

定时器3:

修改注册表,取消显示隐藏文件与系统文件。

incaseformat病毒分析

定时器4:

遍历磁盘,在根目录下创建incaseformat.log文件。

incaseformat病毒分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月1日18:52:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  incaseformat病毒分析 http://cn-sec.com/archives/277312.html