threatBook微步情报局
IOC 1

threatBookthreatBook

蠕虫病毒incaseformat
【微步在线通报】incaseformat蠕虫病毒今日"发作",及时清理确保安全
微步情报局
2021-01-13 21:18:37ThreatBook10506
+ 关注

一. 事件背景

近日,微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染,受害者机器中除了系统盘以外,其他文件全部被删除。

incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到2021年1月13日才被触发。

二. 威胁分析

incaseformat蠕虫病毒运行后,会首先判断是否在系统盘目录下和自身文件名,随后进行自复制和设置注册表自启动,启动后判断自身文件路径是否为"C:\windows\tsay.exe"或者"C:\windows\ttry.exe",当路径名为"C:\windows\ttry.exe"才会下一步运行。

图片1.png

然后在主要的恶意代码中,由于调用的函数“Sysutils::DateTimeToTimeStamp”中dword_450180变量值错误设置为“5A75CC4h(94854340ms)”,导致时间戳换算结果错误。

图片2.png

由于上述代码中时间换算上的错误,导致恶意代码逻辑判断出现错误,触发后续的文件删除功能。

图片3.png

三. 手工排查方法

1. 检测是否存在以下文件

C:\Windows\tsay.exe

C:\Windows\ttry.exe

图片4.png

2. 检测注册表路径“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。

3. 如无法确定文件是否为恶意,可提交至微步在线S沙箱。

图片5.png

四. 解决方案

1. 办公设备不使用U盘等移动存储工具,在必要情况下,使用前进行U盘查杀。

2. 不随便打开共享文件,并通过正规官方渠道下载软件。

3. 关闭文件共享目录或者设置共享目录为只读模式。

4. 保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等。

5. 机器中招后首先进行查杀处置,清除病毒后,可使用第三方数据恢复工具尝试进行恢复。查杀工具可使用USBCleaner(www.usbcleaner.cn)或者其他杀毒软件。

五. 总结

蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点,一般不具备针对特定目标性,并且无需人为干预即可进行不断的传播。一旦被感染意味着受害者本身也是传播节点之一。大部分蠕虫病毒已有专杀工具,可使用专杀工具对病毒进行清理。但感染蠕虫病毒可能会影响电脑使用以及数据丢失,所以预防感染蠕虫病毒还需提高自身安全意识,培养良好的办公习惯。

展开全部ThreatBook

威胁指标(IOC)

Hash检测结果样本标签
75ee468476e300c5fddda280a2c0570b1c11a0f7c44acad2b257428cf404e5da17/2502
10

评论

ThreatBook
匿名用户
2021-01-15 00:30:43
threatBook1
解决方案第5条里www.usbcleaner.cn网站打不开,提示找不到网站或域名未绑定是什么?
微步情报局
2021-01-15 10:29:34
threatBook
回复@匿名用户可以直接搜索usbcleaner这个工具,记得找个可信的网站下载,下载以后的安装包如果不确定是否安全,可以传到微步云沙箱检测一下:s.threatbook.cn
已经到底了,没有更多内容了
Copyright © ThreatBook.CN All Rights Reserved.京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号