TAG: incaseformat 蠕虫 传播
TLP: 白(报告转发使用不受限制)
日期: 2021-01-13
近日,微步在线收到国内众多客户反馈,办公设备被称为 incaseformat 蠕虫病毒感染,除系统盘外,所有其他文件都被删除。
incaseformat 蠕虫病毒发现至今已有10多年历史,一般通过 U 磁盘传播,蠕虫病毒将删除系统磁盘以外的文件,并在根目录下创建名称 incaseformat.log 在病毒代码中设置变量值的错误导致计算当前系统时间的错误,因此直到 2021 年 1 月 13 日才被触发。
incaseformat 蠕虫病毒运行后,首先判断是否在系统磁盘目录中和自己的文件名称,然后复制并设置注册表,判断自己的文件路径是否为 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe",当路径名为 "C:\windows\ttry.exe" 下一步才会运行。
然后在主要恶意代码中,由于调用函数Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为5A75CC4h(94854340ms)时间戳换算结果是错误的。
由于上述代码中时间转换错误,恶意代码逻辑判断错误,触发后续文件删除功能。
1. 检测以下文件是否存在:
C:\Windows\tsay.exeC:\Windows\ttry.exe
2. 检查登记表路径 “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce是否存在存在msfsa”项。
3. 如不确定文件是否恶意,可提交微步在线S沙箱。
蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点,一般不针对特定目标,无需人工干预即可持续传播。一旦被感染,受害者本身就是传播节点之一。大多数蠕虫病毒都有专杀工具,可以用专杀工具清理病毒。但蠕虫病毒的感染可能会影响计算机的使用和数据的丢失,因此需要提高自身的安全意识,培养良好的办公习惯来预防蠕虫病毒的感染。
