2021年1月13日,�,,�,�,一种名为incaseformat的蠕虫病毒在天下各地爆发,�,,�,�,浙江pg赏金女王单机版试玩平台工控网络清静应急响应中心supCERT也接到客户反应磁盘文件被清空,�,,�,�,疑似中了该病毒,�,,�,�,并有多个客户咨询中控清静防护产品能否防御此次爆发的病毒,�,,�,�,supCERT清静工程师获得样本后第一时间对病毒举行剖析�。。。�。�。
病毒机理剖析
样本文件名: tsay.exe/ttry.exe
文件巨细: 496640 字节
MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E
SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA
CRC32: AFE5FF81
图1 病毒详情
图2 病毒文件
该病毒使用delphi编写,�,,�,�,病毒会伪装为文件夹图标,�,,�,�,熏染病毒后,�,,�,�,病毒会将自身复制到C:Windows目录下,�,,�,�,并建设注册表自启动项
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa
图3 自身复制
图4 写注册表自启动
当病毒在C:Windows目录下运行时,�,,�,�,会修改注册表禁用显示隐藏文件,�,,�,�,并判断系统时间,�,,�,�,知足条件时遍历磁盘,�,,�,�,删除除C盘外的所有文件,�,,�,�,并在根目录留下incaseformat.log文件�。。。�。�。
图5 修改注册表
图6 删除文件天生incaseformat.log
值得注重的是作为一个老病毒,�,,�,�,由于使用了delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值过失,�,,�,�,最终导致 DecodeDate 盘算转换出的系统目今时间过失,�,,�,�,直到2021年1月13日才触发了删除文件的代码逻辑,�,,�,�,导致大规模爆发�。。。�。�。该病毒设定的删除日期不止1月13日,�,,�,�,距离最近的下一次删除时间为1月23日�。。。�。�。若是用户电脑中尚有残留的病毒,�,,�,�,将面临再次被删除的危害�。。。�。�。
解决计划
经supCERT验证,�,,�,�,该病毒不具备网络撒播的功效,�,,�,�,主要是通过USB等装备撒播且只有在C:Windows目录下运行时才会执行删除文件等恶意操作,�,,�,�,而重启电脑则是导致其执行恶意操作的主要途径�。。。�。�。
若发明 C:Windows目录下保存名为tsay.exe/ttry.exe的病毒文件,�,,�,�,可以直接删除病毒文件,�,,�,�,在删除之前请不要重启电脑�。。。�。�。然后排查注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce是否保存病毒的自启动项�。。。�。�。
履历证,�,,�,�,在装置了中控主机清静卫士VxDefender的电脑上开启白名单防护功效,�,,�,�,并确认白名单列表中未包括tsay.exe和ttry.exe文件,�,,�,�,则无论重启或是直接双击运行C:Windows目录下的病毒文件,�,,�,�,都可以乐成阻挡incaseformat病毒�。。。�。�。
图7 主机清静卫士主界面
图8 程序白名单阻挡提醒
图9 程序白名单阻挡提醒
图10 程序白名单阻挡日志
中控主机清静卫士专业版VxDefender Pro已内置黑名单杀毒引擎,�,,�,�,可使用病毒查杀功效乐成查杀隔离该病毒,�,,�,�,有用地包管工业主机的清静稳固运行�。。。�。�。
图11 主机清静卫士专业版病毒查杀功效
清静建议
1. 不要下载或点击未知泉源的文件
2. 严酷规范U盘等移动存储装备的使用
3. 装置杀毒软件,�,,�,�,按期举行扫描杀毒
4. 装置主机清静防护产品
浙公网安备33010802002206号