0x00背景介绍
1月13日,天融信阿尔法实验室及威胁情报运营中心监测到:国内众多Windows系统用户遭遇文件被病毒删除现象,通过天融信威胁情报平台综合分析后,鉴定该事件为感染蠕虫病毒Incaseformat所致,该蠕虫病毒在感染主机后会删除所有非系统分区文件,危害性极大。
0x01样本分析
1.样本说明
2.技术分析
1)该病毒为delphi的窗口程序,并在窗口回调中有几个Timer回调函数来执行程序的主逻辑,以下为4个定时器:
2)主窗口回调中,首先将自身拷贝为C:windowstsay.exe,并设置注册表自启动,然后将自身拷贝为C:windowsttry.exe并直接启动:
3)Timer1定时器回调函数,判断当前磁盘类型并遍历文件
4)Timer2定时器回调函数,主要功能为解码当前时间,与代码中配置的时间进行对比,如果条件符合,则执行文件删除操作:
因为代码配置错误,导致“2021年01月13日”被解码为 “2010年4月1日”,符合配置的首次爆发时间,因此导致蠕虫爆发,才有了所谓的“潜伏10年”。以下为解码时间中的配置错误:
需要注意的是,蠕虫后续的爆发时间,因为时间解码配置错误的原因,并不遵从“4月份及以后且每月1/10/21/29日”的规律。
以下为遍历文件、目录并删除的代码:
5)Timer3定时器回调函数,主要功能为注册表操作,设置文件隐藏属性:
6)Timer4定时器回调函数,主要功能为创建incaseformat.log文件
3.爆发日期计算方法
以上函数中:a2为从1900年1月1日到当前日期的天数,如果0x450180位置的全局变量配置正确,以上红框部分执行结束后,变量date与a2理应相同。红框之后,a2+693594即为当前日期。
0x450180位置变量的正确值为0x5265C00,实际值为0x5A75CC4,偏差系数为:0x5A75CC4/0x5265C00=1.0978511574074075。
因此,已知配置的首次爆发时间为2010年4月1日,则实际的爆发日期计算过程如下:
1.2010年4月1日距离1900年1月1日的总天数为:40267天
2.40267天* 系数1.0978511574074075 = 44207天
3.1900年1月1日 + 44207天 = 2021年1月13日
同理可计算后续爆发日期:
0x02安全排查办法
天融信阿尔法实验室和威胁情报运营中心建议相关用户提高警惕,及时进行安全排查,手工排查和数据恢复方法如下:
1、手动排查方法
排查主机Windows目录下是否含tsay.exe,若存在删除该文件;排查注册表是否存在HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa,键值为C:windowstsay.exe,若存在删除msfsa注册表项。且在删除该文件和注册表项前切勿重启计算机。
2、数据恢复方法
勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:Finaldata、recuva、DiskGenius等)即可恢复被删除数据。
0x03天融信解决方案
1、天融信威胁情报平台检测方案
目前,天融信威胁情报平台中沙箱已支持自动识别和鉴定该样本。天融信威胁情报平台结合多年漏洞挖掘和威胁情报数据的采集、处理、分析等经验,以分析报告及情报知识的方式向客户提供威胁预警和威胁分析报告。天融信威胁情报运营中心将7×24小时为相关客户提供病毒预警和修复建议服务。
2、天融信EDR防护方案
天融信EDR无需病毒库升级即可对该蠕虫病毒进行全面查杀和防御。
1)已安装天融信EDR的用户可对该蠕虫病毒精准查杀和全面防御。
2)未安装天融信EDR的用户,可试用企业版或下载单机版对该蠕虫病毒进行检测与查杀。
0x04支持热线
天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。
0x05声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们
本文始发于微信公众号(天融信阿尔法实验室):天融信关于Incaseformat 蠕虫技术分析报告及防御方案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论