近日,深信服安全团队监测到一种名为incaseformat病毒,全国各个区域都出现了被incaseformat病毒删除文件的用户。经调查,该蠕虫正常情况下表现为文件夹蠕虫,集中爆发是由于病毒代码中内置了部分特殊日期,在匹配到对应日期后会触发蠕虫的删除文件功能,爆发该蠕虫事件的用户感染时间应该早于1月13号,根据分析推测,下次触发删除文件行为的时间约为2021年1月23日和2月4日。
该蠕虫病毒运行后会检测自身执行路径,如在windows目录下则会将其他磁盘的文件进行遍历删除,并留下一个名为incaseformat.log的空文件:
如当前执行路径不在windows目录,则自复制在系统盘的windows目录下,并创建RunOnce注册表值设置开机自启:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
情况看似简单,但令人不解的是,该蠕虫是通过什么方式进行传播的呢?又为何会集中爆发?
经过安全专家对病毒文件和威胁情报的详细分析,有了新的发现。该蠕虫病毒由Delphi语言编写,最早出现于2009年,此后每年都有用户在网络上发帖求助该病毒的解决方案解决方案:
正常情况下,该病毒表现为一种文件夹蠕虫,和其他文件夹蠕虫病毒一样,通过文件共享或移动设备进行传播,并会在共享目录或移动设备路径下将正常的文件夹隐藏,自己则伪装成文件夹的样子。
然而,与其他文件夹蠕虫不同的是,incaseformat蠕虫病毒在代码中内置了一个“定时条件”,蠕虫会获取受感染主机的当前时间,然后通过EncodeDate和EncodeTime函数进行聚合:
获取到时间后,程序与指定的时间进行了比对,触发文件删除的条件为:
- 年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29
自2009年起,每年4月后的1号、10号、21号和29号会触发删除文件操作:
然后通过DecodeDate函数拆分日期,奇妙的是,该程序中的Delphi库可能出现了错误,导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本2010年4月1日愚人节启动时间,错误转换成为2021年1月13日):
分析人员计算随后会触发删除文件操作的日期为,2021年1月23和2月4号:
深入分析发现,导致病毒计算日期发生错误的原因是由于DecodeDate中,DateTimeToTimeStamp用于计算的一个变量发生异常:
由于文件夹蠕虫感染后没有给主机带来明显的损失,大多数用户都会疏于防范,且文件蠕虫主要通过文件共享和移动设备传播,一旦感染后容易快速蔓延内网,很多此次爆发现象的主机可能在很早前就已经感染。
对此,针对该蠕虫病毒向广大用户提出防范建议:
若未出现感染现象(其他磁盘文件还未被删除):
- 勿随意重启主机,先使用安全软件进行全盘查杀,并开启实时监控等防护功能;
- 不要随意下载安装未知软件,尽量在官方网站进行下载安装;
- 尽量关闭不必要的共享,或设置共享目录为只读模式;深信服EDR用户可使用微隔离功能封堵共享端口;
- 严格规范U盘等移动介质的使用,使用前先进行查杀;
若已出现感染现象(其他磁盘文件已被删除):
- 使用安全软件进行全盘查杀,清除病毒残留;
- 可尝试使用数据恢复类工具进行恢复,恢复前尽量不要占用被删文件磁盘的空间,由于病毒操作的文件删除并没有直接从磁盘覆盖和抹去数据,可能仍有一定几率进行恢复;
我们为广大用户提供免费查杀工具,可下载如下工具,进行检测查杀:
- 64位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
- 32位系统下载链接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
最后,也再次提醒广大用户,安全无小事,一定要做好重要数据备份,以及主机安全防护措施,才能防患于未然!