“燕云实验室”是河北千诚电子科技有限公司成立的网络安全攻防技术研究实验室。专注于web安全,网络攻防,安全运维,应急溯源方面的研究,开发成果应用于产品核心技术转化,国家重点科技项目攻关。
一、病毒简介
二、样本分析
三、查杀与恢复方式
四、预防措施
名称:incaseformat
种类:蠕虫病毒
影响:windows
时间:2021年1月13日
实际上incaseformat至少是2014年之前的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值发生错误,最终导致 DecodeDate 计算转换出的当前系统时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑。根据分析后次爆发时间为2021年1月23和2月4号
md5:4b982fe1558576b420589faa9d55e81asha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3csha256:ff84e79cae99f5714f363588bc8238096249a85d34982b8d8c9ac2f9c3a639e8
该病毒主要文件名为 tsay.exe 和 ttry.exe
该病毒在非 windows 目录下运行
会拷至 C:\windows\ttry.exe、C:\windows\tsay.exe
并且创建 RunOnce 注册表值开机自启
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
或
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
同时会删除除系统盘之外的所有文件,并且在磁盘下留下名为incaseformat.log 文件
检查 Windows 目录下是否存在 tsay.exe 和 ttry.exe 文件,如果有立即删除
检查注册表是否存在下面的记录,如有就删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa全盘查杀是否存在该病毒文件
将以下脚本内容复制粘贴到任意扩展名为.bat的批处理文件中,双击执行,即可输出检测结果。(注意:bat编码集需要选择为ANSI)
@echo offset tsay_path=C:\Windows\tsay.exeset ttry_path=C:\Windows\ttry.exeif exist %tsay_path% goto findif exist %ttry_path% goto findecho 本机没有找到【incaseformat】病毒,安装安全软件,排查信任区并确认实时监控是否开启echo.pauseexit:findecho 本机存在【incaseformat】病毒,请联系管理员处理echo.pauseexit
不要运行来历不明的软件
下载软件尽量从官网下载,并对比 hash或md5
安装终端安全防护软件,并保持最新的规则库
对移动介质如 U 盘之类的,定期查杀
文章转载自燕云实验室,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
