新闻动态

News information

Incaseformat蠕虫事件真有那么香吗,且听专家的分析

<<返回

2021年01月15日 10:50

近日,一种叫做incaseformat蠕虫病毒攻击了众多的主机,涉及政府、医疗、教育、智能制造等多个行业。被感染主机均表现为所有非系统分区文件均被删除,被删除文件分区根目录下存在名为incaseformat.log的空文件,由此网络上将此病毒命名为incaseformat。


1.概述:


六方云超弦攻防实验室对其取样分析后,发现incaseformat属于一个“古董级”蠕虫病毒,通过U盘等方式进行传播,该病毒早在2009年前就已经出现,主流的杀毒软件厂商将其命名为Worm.Win32.Autorun。incaseformat带有删除文件的逻辑炸弹,本来将于2010年4月1日首次发作,但是由于函数参数错误,导致在2021年1月13日才引爆,进入到大众的视野,该病毒通过USB等可移动便携设备传播,没有网络行为,相比于其他利用网络传播的蠕虫病毒,传播能力稍弱。

Incaseformat病毒能够在这么多年潜伏并传播的最主要原因是部分政企机构和个人用户长期处于裸奔状态,对于工控主机的现象尤为普遍,对于部分安装了病毒防护软件的工控机,由于缺乏更专业的技术防御措施,仍然未能逃过被感染的命运。传统的杀毒软件由于工控现场无法联网,病毒样本库得不到有效更新;一般的白名单软件并未对主机进行安全检查,无法保证主机部署的白名单是否真正干净,而机器的长期带毒运行,就像埋下了一颗不定时炸弹,谁都无法预知下次引爆会带来怎样的后果。

2.病毒分析



2.1病毒标签


01.jpg


▲表2-1母体病毒样本


02.jpg


表2-1衍生文件

2.2母体病毒样本详细分析

03.jpg


图2-1:样本文件

母体病毒样本双击运行后,会释放tsay.exe到Windows目录下(C:\windows\tsay.exe),并且通过修改注册表键值以实现自启动。创建注册表键值如下:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

Value: String: "C:\windows\tsay.exe",然后结束自身进程。



04.jpg

图2-2:第一次运行在windows目录下释放文件tsay.exe


05.jpg


图2-3:注册表写入实现开机自启动释放的副本


06.jpg


图2-4:自启动写入的位置


07.jpg


图2-5:自启动写入的副本镜像位置


08.jpg


图2-6:开机自启动后tsay.exe的另一副本ttry.exe

释放的病毒在电脑重启后运行,将除了系统盘(一般为C盘)的其他数据全部删除,给企业用户造成巨大损失,由于病毒中调用了Delphi库中的DateTimeTOTimeStamp函数,将函数中的变量IMsecsPerDay的值设置为错误的0x5Q75CC4,从而使得本应该在2010年4月1日发作的病毒在2021年1月13日才成功运行,造成大量用户数据丢失:


09.jpg


图2-7:DateTimeToTimeStamp函数中的错误参数值


10.jpg


图2-8:删除文件操作

总结:对该病毒进行分析后发现,该病毒并没有使用漏洞利用等高深的技术,也没有利用网络传播的能力,仅仅是利用了一个时间判断逻辑来对用户的数据进行删除,传播途径也是使用U盘等便携式移动存储进行传播。该病毒中删除文件的判断逻辑为:

year>2009&&month>3&&(day==1||day==10||day==21||day==29)

所以从2010年开始,每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行删除操作。

3.处置建议


3.1手动处置建议

1.结束下列进程

tsay.exe、ttry.exe

2.删除下列文件

C:\windows\tsay.exe

C:\Windows\ttry.exe

3.删除下列注册表项中的名为“msfsa”的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

3.2安全产品建议

经测试,六方云工业卫士能够有效阻止Incaseformat的执行和扩散。


11.jpg


图3-1安装六方云工业卫士后Incaseformat程序无法正常执行

六方云工业卫士软件基于“白+黑”防护技术,能够对系统进行全盘扫描并创建名单样本库,然后将该名单样本库与黑名单样本库进行比对,将潜伏在主机内的病毒识别出来并自动剔除,形成真正意义的安全白名单,可有效避免误将病毒、木马等恶意程序加入白名单,为工控主机的安全运行保驾护航。


12.jpg


图3-1 工业卫士“白+黑”防御方案

同时,由于Incaseformat病毒只能通过U盘等移动存储介质进行传播,其不存在网络传播行为,因此,六方云工业卫士软件可通过对USB存储介质和非USB存储设备的严格管控,有效阻断该病毒的感染路径,保障主机环境的安全。


13.jpg


图3-2 工业卫士外设防护