安全通報(bào)

比特豹運(yùn)維對Incaseformat蠕蟲病毒的分析及處理意見

日期：2021-01-14 13:51:33 投稿人：廣東比特豹科技有限公司

近日，廣東省網(wǎng)絡(luò)威脅數(shù)據(jù)聯(lián)盟監(jiān)測到一種名為incaseformat的病毒，全國各個(gè)區(qū)域都出現(xiàn)了被incaseformat病毒刪除文件的用戶。

微信截圖_20210114135242.png

從搜索引擎結(jié)果來看，該病毒最早出現(xiàn)時(shí)間為 2009 年，主流殺毒軟件廠商均將此病毒命名為 Worm.Win32.Autorun，從名稱可以判斷該病毒為 Windows 平臺通過移動存儲介質(zhì)傳播的蠕蟲病毒。

病毒文件運(yùn)行后，首先復(fù)制自身到 Windows 目錄下（C:\windows\tsay.exe），文件圖標(biāo)偽裝為文件夾。如下圖紅框所示：

經(jīng)分析，該蠕蟲病毒在非Windows目錄下執(zhí)行時(shí)，并不會產(chǎn)生刪除文件行為，但會將自身復(fù)制到系統(tǒng)盤的Windows目錄下，創(chuàng)建RunOnce注冊表值設(shè)置開機(jī)自啟，且具有偽裝正常文件夾行為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa，

該值: C:\windows\tsay.exe。如下圖所示：

當(dāng)蠕蟲病毒在Windows目錄下執(zhí)行時(shí)，會再次在同目錄下自復(fù)制，并修改如下注冊表項(xiàng)調(diào)整隱藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

實(shí)現(xiàn)不顯示隱藏文件及隱藏已知文件類型擴(kuò)展名，達(dá)到躲避管理員檢查目的。

此次的病毒與常見的蠕蟲病毒不同，除了具有偽裝文件夾圖標(biāo)，隱藏原始文件夾的危害以外，還設(shè)置了定時(shí)刪除文件的邏輯。一旦滿足設(shè)定的時(shí)間，將會刪除用戶電腦中除C盤之外的其他盤符的所有文件，并且可能在磁盤根目錄創(chuàng)建“incaseformat.txt”文本文檔。如下圖所示：