关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【风险通告】警惕incaseformat家族USB蠕虫病毒发作!

发布时间:2021-01-14 13:41:31

该病毒主要通过U盘进行传播,在数年前就已经可以被各大杀毒厂商进行查杀。

病毒详情
该病毒家族俗名incaseformat,属于USB蠕虫家族,实际上,相关蠕虫近期传播感染并未发生激增。由于部分政企机构和个人用户长期处于裸奔状态,或未安装具有有效能力的安全产品,使这一“古老”蠕虫长期寄生而未能及时发现,而由于该蠕虫带有删除文件的逻辑炸弹,作者预设2010年4月1日为首次发作日期,但是由于作者的编码错误,导致2021年1月13日成为了首次发作日期,所以这些感染的用户因文件被删除而感知到了这一蠕虫的存在,这是今日该病毒成为焦点的关键原因。

病毒分析
样本母体运行后会释放tsay.exe到Windows目录下(C:\windows\tsay.exe),并且通过修改注册表键值以实现自启动。创建注册表键值如下,随后结束自身进程。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
Value: String: "C:\windows\tsay.exe"
系统重新启动后,衍生文件开始执行,具体行为包括删除非系统磁盘的文件,并创建文件大小为0K,文件名为incaseformat.log的文件。

1.png

同时复制病毒自身到D盘,并将病毒文件名重命名为删除的文件夹名。例如:D盘存在Program Files文件夹,病毒名则为Program Files.exe。

2.png

该衍生文件使用了Delphi库中的DateTimeToTimeStamp函数,该函数中的变量IMSecsPerDay正常应为0x5265C00,但是被错误的写为0x5A75CC4。故文件删除操作虽原定于2010年4月1日,但于2021年1月13日才成功执行。

3.png

注:病毒原逻辑为:year>2009&&month>3&&(day==1||day==10||day==21||day==29)
故本应从2010年开始,每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行一次删除操作

处置建议:
1.结束下列进程
tsay.exe、ttry.exe
2.删除下列文件
C:\windows\tsay.exe
C:\Windows\ttry.exe
3.删除下列注册表项中的名为“msfsa”的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
4.安装杀毒软件并进行全盘扫描,安天,腾讯电脑管家,360,火绒等均可查杀该样本。

/template/Home/Zkeys/PC/Static