蠕虫病毒“incaseformat”来袭,中毒重启20秒后狂删电脑文件

xiannv  1438天前

近日,一种名为incaseformat的蠕虫病毒在国内爆发,用户电脑中毒后,病毒文件通过DeleteFileA和RemoveDirectory代码实施了删除文件和目录的行为。此病毒启动后将自身复制到C:\WINDOWS\tsay.exe并创建启动项退出,等待重启运行,下次开机启动后约20s就开始删除用户文件。

YyeoGn.jpg

有研究人员发现用户电脑中毒后,电脑中除C盘之外的其他文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。

分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

1.jpg

不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。我们建议广大用户及时使用安全软件全盘扫描(清空信任区)进行排查,建议清空信任区后进行全盘扫描查杀。

事实上,2014年就已截获到该病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒。直到2021年1月13日才触发删除用户文件的代码逻辑。

2.jpg

2014年对该样本的收录和检测

3.jpg

判断系统时间执行全盘文件删除相关代码


4.jpg

病毒所使用的有问题的 DateTimeToTimeStamp 相关代码

5.jpg

病毒传播相关代码

蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。再次提醒广大用户,若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,应第一时间咨询安全厂商,不要轻易对其进行信任。

参考

[1] https://weibo.com/ttarticle/p/show?id=2309404593022271619387

[2] https://www.colabug.com/2021/0113/7944791/

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论