近日,深信服安全团队检测到一种名为incaseformat的病毒,全国各地均出现被incaseformat病毒删除文件的用户。经调查,该蠕虫通常表现为文件夹蠕虫。集中爆发是由于病毒代码中内置了一些特殊日期。匹配到相应的日期后,就会触发蠕虫的文件删除功能。此次爆发蠕虫事件的用户感染时间应该是1月13日,据分析,下次触发删除文件的时间大概在2021年1月23日和2月4日。蠕虫运行后,会检测自己的执行路径。如果在windows目录下,则会遍历删除其他磁盘上的文件,并留下一个名为incaseformat.log的空文件:如果当前执行路径不在windows目录下,会自动复制到windows目录下设置开机自启动的RunOnce注册表值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa值:C:\windows\tsay.exe让人不解的是蠕虫是如何传播的,为什么会一起爆发?经过安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫使用Delphi语言编写,于2009年首次出现,此后每年都有用户在网上发帖寻求该病毒的解决方案。解决方法:一般情况下,病毒表现为文件夹蠕虫,其他文件夹蠕虫一样,通过文件共享或移动设备传播,将正常文件夹隐藏在共享目录或移动设备路径中,伪装成文件夹。但是,与其他文件夹蠕虫不同的是,incaseformat蠕虫在代码中内置了“计时条件”。蠕虫会获取被感染主机的当前时间,然后通过EncodeDate和EncodeTime函数进行聚合:获取时间后,程序与指定时间进行比较,触发文件删除的条件为:年>2009年,月>3、date=1ordate=10ordate=21ordate=29从2009年开始,每年4月1号、10号、21号、29号都会触发删除文件操作:然后通过DecodeDate函数拆分日期。神奇的是,这个程序中的Delphi库可能存在错误,导致转换后的时间与主机真实时间不一致。不匹配,所以真实的触发时间与程序设置条件不同(原愚人节开始时间2010年4月1日被错误转换为2021年1月13日):分析师计算出触发日期文件删除操作为,2021年1月23日和2月4日:深入分析发现病毒计算日期错误的原因是DecodeDate中DateTimeToTimeStamp计算时使用的一个变量出现异常:文件夹蠕虫没有带来大多数用户在防止明显损失方面会疏忽,文件蠕虫主要通过文件共享和移动设备传播。一旦被感染,它们很容易迅速传播到内网,而这次爆发的许多主机可能早就被感染了。对此,我们向广大用户提出针对该蠕虫的防范建议:如果没有感染(其他磁盘文件未被删除):不要随意重启主机,先用安全软件进行全盘扫描,kill、开启实时监控等保护功能;不要随意下载安装未知软件,尽量从官网下载安装;尝试关闭不必要的共享,或将共享目录设置为只读模式;深信服EDR用户可以使用微隔离功能屏蔽共享端口;严格规范U盘等可移动介质的使用,使用前查杀;如果发生感染(其他磁盘文件已被删除):使用安全软件对整个磁盘进行扫描杀毒,清除病毒残留;可以尝试使用数据恢复工具进行恢复,恢复前尽量不要占用被删除文件的磁盘空间,因为病毒操作删除的文件不会直接覆盖擦除磁盘中的数据,可能还会有一定的恢复的机会;我们免费为广大用户提供扫描查杀工具,您可以下载以下工具,检测查杀:64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z32-位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86。最后,7z再次提醒所有用户,安全无小事,一定要做好重要数据备份和主机安全防护措施,防患于未然!
