222天 Jacksunhack

重要的人越来越少,剩下的人也越来越重要 ​​

红色预警:蠕虫病毒incaseformat在国内爆发,警惕系统文件遭遇强制删除!

发布于 5个月前 / 242 次围观 / 0 条评论 / 默认 / Chiriri

(2021年1月13日),国内各大主流安全厂商对外发布预警称,一种名为“incaseformat”的蠕虫病毒在国内爆发。

360安全

 

该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动。一旦用户重启主机,使得病毒母体从Windows目录中执行,病毒进程将会遍布除系统盘外的所有磁盘文件,这些文件将遭遇强制删除,对用户造成不可挽回的损失。

目前,已发现国内多个区域、不同行业的用户遭到感染,但该病毒的传播范围暂时未见明显的针对性。

蠕虫病毒incaseformat”分析:

从搜索引擎结果来看,该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕虫病毒病毒文件运行后,首先复制自身到Windows 目录下(C:\windows\tsay.exe),文件图标伪装为文件夹。

vir.exe

经调查,该蠕虫正常情况下表现为文件夹蠕虫,集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于2021年1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2021年2月4日。

 

该蠕虫病毒运行后会检测自身执行路径,如在windows目录下则会将其他磁盘的文件进行遍历删除,并留下一个名为incaseformat.log的空文件:

 

 

若当前执行路径不在windows目录,则自复制在系统盘的windows目录下,并创建RunOnce注册表值设置开机自启:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
键值: C:\windows\tsay.exe

 

病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时创建同名的病毒文件。

 

此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue