您所在的位置: 首頁 >
安全研究 >
安全通告 >
蠕蟲病毒 incaseformat 在國內(nèi)肆虐
可導(dǎo)致用戶數(shù)據(jù)丟失,眾多行業(yè)用戶受影響
2021年1月13日,深信服、360、火絨安全實驗室等國內(nèi)安全公司對外發(fā)布預(yù)警,稱一種名為incaseformat的蠕蟲病毒在國內(nèi)爆發(fā)。
深信服稱,該蠕蟲病毒早在2014年就已經(jīng)爆發(fā)。因為該病毒所使用的delphi庫中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯誤,最終導(dǎo)致 DecodeDate 計算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時間錯誤。
該蠕蟲病毒執(zhí)行后會自復(fù)制到系統(tǒng)盤Windows目錄下,并創(chuàng)建注冊表自啟動,一旦用戶重啟主機,使得病毒母體從Windows目錄執(zhí)行,病毒進程將會遍歷除系統(tǒng)盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。
目前,已發(fā)現(xiàn)國內(nèi)多個區(qū)域不同行業(yè)用戶遭到感染,病毒傳播范圍暫未見明顯的針對性。
病毒描述
經(jīng)分析,該蠕蟲病毒在非Windows目錄下執(zhí)行時,并不會產(chǎn)生刪除文件行為,但會將自身復(fù)制到系統(tǒng)盤的Windows目錄下,創(chuàng)建RunOnce注冊表值設(shè)置開機自啟,且具有偽裝正常文件夾行為:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值: C:\windows\tsay.exe
當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時,會再次在同目錄下自復(fù)制,并修改如下注冊表項調(diào)整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統(tǒng)盤外的所有文件,在根目錄留下名為incaseformat.log的空文件:
深信服解決方案
由于該病毒只有在Windows目錄下執(zhí)行時會觸發(fā)刪除文件行為,重啟會導(dǎo)致病毒在Windows目錄下自啟動,因此,深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前請勿重啟主機:
1、不要隨意下載安裝未知軟件,盡量在官方網(wǎng)站進行下載安裝;
2、盡量關(guān)閉不必要的共享,或設(shè)置共享目錄為只讀模式;深信服EDR用戶可使用微隔離功能封堵共享端口;
3、嚴(yán)格規(guī)范U盤等移動介質(zhì)的使用,使用前先進行查殺;
4、如發(fā)現(xiàn)已感染主機,先斷開網(wǎng)絡(luò),使用安全產(chǎn)品進行全盤掃描查殺再嘗試使用數(shù)據(jù)恢復(fù)類軟件。深信服為廣大用戶提供免費查殺工具,可下載如下工具,進行檢測查殺:
64位系統(tǒng)下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統(tǒng)下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
與此同時,深信服安全感知平臺、下一代防火墻、EDR用戶,建議及時升級最新版本,并接入安全云腦,使用云查服務(wù)以及時檢測防御新威脅。
火絨安全實驗室分析
火絨安全實驗室工程師稱,此次的病毒與常見的蠕蟲病毒不同,除了具有偽裝文件夾圖標(biāo),隱藏原始文件夾的危害以外,還設(shè)置了定時刪除文件的邏輯。一旦滿足設(shè)定的時間,將會刪除用戶電腦中除C盤之外的其他盤符的所有文件,并且可能在磁盤根目錄創(chuàng)建“incaseformat.txt”文本文檔。此次有大量用戶被刪文件的原因,是因為這些用戶對該病毒進行了信任,或者根本沒有安裝安全軟件。很可能該病毒已經(jīng)在用戶電腦中潛伏多年。
不僅如此,該病毒設(shè)定的刪除日期不止今天(1月13日),距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的危害。建議廣大用戶及時使用火絨安全軟件全盤掃描(清空信任區(qū))進行排查。對于未安裝火絨已經(jīng)中毒的用戶,建議清空信任區(qū)后進行全盤掃描查殺。
2014年火絨對該樣本的收錄和檢測
判斷系統(tǒng)時間執(zhí)行全盤文件刪除相關(guān)代碼
病毒所使用的有問題的 DateTimeToTimeStamp 相關(guān)代碼
病毒傳播相關(guān)代碼
蠕蟲病毒因其會偽裝成其他文件、不斷復(fù)制自身的特性,具有非常強的傳播性。即便被安全軟件查殺,也經(jīng)常會被用戶錯當(dāng)成“誤殺”,進行信任處理。也因此,蠕蟲病毒在企業(yè)內(nèi)網(wǎng)中的活躍度一直居高不下。學(xué)校、打印店等也是蠕蟲病毒的重災(zāi)區(qū)。火絨工程師再次提醒廣大用戶,若遇到安全軟件頻繁報毒的情況,很大概率就是感染了蠕蟲病毒,應(yīng)第一時間咨詢安全廠商,不要輕易對其進行信任。
原文來源:云頭條