安全应急:卷土重来!incaseformat蠕虫病毒深度潜伏,瞬时爆发

2021-03-23 16:30:50 0

2021年1月13日,锐捷网络应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及多个行业的应用系统。该病毒针对Windows操作系统感染主机,表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此互联网上将此病毒命名为incaseformat。

目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。



事件描述


从威胁情报监控结果来看,该病毒最早出现时间为2009年,同时主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun,从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。

该病毒家族俗名被命名为incaseformat,算是一个比较古老的USB蠕虫家族。该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成重大的损失。
 

样本分析



感染病毒,系统重启之前:

a.该病毒是用delphi实现:

图片关键词

b. 病毒显示的图标为文件夹格式:

图片关键词

c.病毒文件运行后,首先复制自身到Windows目录下(C:Windows say.exe)

图片关键词

d.创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa,如下图:
 
图片关键词

e.并修改如下注册表项调整隐藏文件:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLcheckedvalue -> 0x0
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMap -> 0
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced hiden->2
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced  HideFileExt->1

图片关键词


感染病毒,系统重启后:


a.系统完成重启后,则非系统盘下的文件都被删除,并且在非系统盘下面保留incaseformat文件,如下图:

图片关键词

b.同时在C:Windows目录下面生成两个病毒文件:

图片关键词

c.系统中运行ttry.exe进程,如下图:

图片关键词

d.修改文件的属性,删除文件扩展名的选项如下图:

图片关键词


事件汇总


该蠕虫带有删除文件功能,病毒作者可能把2010年4月1日为首次发作日期,但是由于在设置函数参数时发生错误,导致时间计算错误,2021年1月13日成为了首次发作日期,所以感染该的用户由于文件被删除而感知到了该蠕虫病毒的存在。这也是该病毒成为焦点的关键原因。

该病毒会感染Windows系统的非系统盘,并清除磁盘文;病毒没有网络传播性,不必恐慌。它是通过U盘和文件共享传播的老病毒,最早出现在十多年前。

处置建议


  • 通过任务管理器结束病毒相关进程(ttry.exe);

  • 删除Windows目录下驻留文件tsay.exe和ttry.exe及注册表相关启动项(RunOnce);

  • 恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项;

  • 若发现带有文件夹图标的EXE文件,除非知道该文件的来源,否则不要打开;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储;

  • 尽量关闭不必要的端口及网络共享;

  • 调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;

  • 提升内网杀毒软件覆盖率,确保主要终端和服务器均安装有杀毒软件,并定期更新病毒库到最新;

  • 禁止U盘自动运行,关闭U盘自动播放;

  • 不要随意下载安装未知软件,尽量在官方网站进行下载安装;

  • 打开系统自动更新,并检测更新进行安装;

  • 请到正规网站下载程序;

  • 不要点击来源不明的邮件以及附件,邮件中包含的链接;

  • 提高员工安全意识,使用U盘前用杀毒软件进行病毒扫描后再使用;也可以通过管控功能禁止不明移动存储设备进入内网;

  • 如若系统感染病毒可采用数据恢复软件进行非系统盘的数据恢复。


安全产品介绍


产品说明
RG-APT高级威胁检测系捷高级威胁检测系统(RG-APT)基于“文件+流量”双维度分析架构。通过独有的八大核心引擎,综合威胁情报、行为模型、机器学习、虚拟化沙箱和安全特征库等检测技术覆盖式发现高级未知威胁。
RG-WALL系列下一代防火下一代防火墙结合防病毒以及威胁情报检测。检测主流僵木蠕,APT样本。
RG-BDS-TSP锐捷NFA探针系统,结合最新的威胁情报,实时鉴别络中传输文件,判断潜在病毒。

相关iocs


4B982FE1558576B420589FAA9D55E81A
11eda0f7116c32c7ae5c2b570f8ba22f
e3a88c7353a09b716173f7ffb178ff80
b24e521e4aa3583c2a7cd98c50413e22
 

团队介绍

 
锐捷网络CERT安全应急响应团队,跟踪最新互联网威胁事件,针对最新安全漏洞,APT攻击以及僵尸网络家族做实时跟踪和分析;为产品、客户提供实时、有效的安全防护策略与解决方案。

锐捷“网络+安全”主张将网络设备的安全能力充分发挥,网络设备、安全设备与安全平台智能联动,告别安全孤岛,构成整网联动的安全保障体系,实现防护、安全预测、分析和响应等安全问题自动化全流程闭环。

图片关键词



首页
产品
新闻
联系