incaseformat蠕虫病毒

news/2024/11/15 4:49:14/

病毒说明:

国内多个区域行业出现且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。

 

 

 

病毒分析:

该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命 名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕 虫病毒。 病毒文件运行后,首先复制自身到 Windows 目录下(C:\windows\tsay.exe),文件图标 伪装为文件夹。

同时修改注册表键值实现自启动,涉及注册表项为: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时 创建同名的病毒文件。

此外还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注 册表项包括:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Adva nced\HideFileExt

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hid den\SHOWALL\checkedvalue

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hid eFileExt\checkedvalue

 

 

最后对非系统分区下所有文件执行删除操作,并创建 incaseformat.log 文件。

 

该病毒由于编写时对某时间判断变量赋值错误,导致在今天(2021 年 1 月 13 日)才触 发并执行删除文件的代码逻辑,实际该病毒可能被感染主机上驻留多年,但由于缺少主机防 病毒软件或白名单设置错误等原因,一直未能被发现。由于病毒本身只能通过 U 盘等移动介质进行传播,并无相关网络传播特征,此次在国内 多个行业出现大规模感染事件,猜测可能与相关应用系统的供应链或厂商运维有关,如:软 件分发、更新升级、远程运维等,具体传播途径还需做进一步溯源分析。

 

处理建议:

1、 主机排查 排查主机 Windows 目录下是否存在图标为文件夹的 tsay.exe 文件,若存在该文件,及时 删除即可,删除前切勿对主机执行重启操作。

2、 数据恢复 切勿对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软 件(如:Finaldata、recuva、DiskGenius 等)即可恢复被删除数据。

3、 病毒清理 由于病毒出现年份较早,主流杀毒软件均可对该病毒进行查杀,用户也可通过以下手工 方式进行清理修复: 1)通过任务管理器结束病毒相关进程(ttry.exe)

2)删除 Windows 目录下驻留文件 tsay.exe 和 ttry.exe 及注册表相关启动项(RunOnce)3)恢复上述被病毒篡改的用于隐藏文件及扩展名的相关注册表项。

 

附录:

清理脚本:新建txt文本把代码复制进去然后后缀名改为.bat,双击运行既可

@echo offtaskkill /f /im tsay.exe
taskkill /f /im ttry.exe@reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v "Hidden" /t REG_DWORD /d 1 /f@reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v "HideFileExt" /t REG_DWORD /d 0 /f@reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v "checkedvalue" /t REG_DWORD /d 1 /f@reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\ /v "checkedvalue" /t REG_DWORD /d 1 /f@REG DELETE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ /v "msfsa" /fdel /f /q C:\windows\tsay.exe
del /f /q C:\windows\ttry.exe@For /F "Skip=1" %%i in ('Wmic Logicaldisk Where "DriveType=3" Get Name') Do del /f /q %%i\incaseformat.log

 


http://www.ppmy.cn/news/457571.html

相关文章

服务器中了蠕虫病毒Wannamine2.0小记

服务器中了蠕虫病毒Wannamine2.0小记

近期用户反馈某台服务器总感觉性能不是很好存在卡顿,于是今天远程上去分析。 打开任务管理器发现CPU使用率非常低,内存使用也在接受范围内(10/64G)。不过我有一个偏好就是不喜欢用系统自带的任务管理器查看资源,顺手把…
阅读更多...
病毒、蠕虫、木马学习笔记

病毒、蠕虫、木马学习笔记

本质不同 病毒(蠕虫)具有自我传播、复制、破坏电脑文件、对电脑造成数据上不可逆转的损失。而木马是伪装成这正常程序获取用户信任而入侵,潜伏在电脑中盗取用户资料与信息 特征不同 病毒的特征:很强的感染性;一定隐蔽性;一定的…
阅读更多...
【信息安全】-病毒 VS 木马 VS 蠕虫

【信息安全】-病毒 VS 木马 VS 蠕虫

Abstract:本篇文章简要介绍了病毒,木马和蠕虫。木马和病毒蠕虫的区别在于,利用木马可以建立远程连接,远程控制受害者主机,蠕虫与病毒木马的区别在于它的原理是利用缓冲区溢出漏洞修改函数返回值的方式进行自动的攻击。此外还介绍了…
阅读更多...
病毒、蠕虫、木马区别

病毒、蠕虫、木马区别

病毒、蠕虫、木马区别 前言 什么是病毒、木马、蠕虫?互联网时代,时代之幸,也是不安定因素的温床,这些不安定因素是导致计算机和计算机上的信息损坏乃至被窃的恶意程序,它们可以多方传播,以首次中毒的计算机…
阅读更多...
自己创作的一个简单的蠕虫病毒

自己创作的一个简单的蠕虫病毒

哈哈哈,好久没更新了,so,话不多说,因为我是学生嘛,任务艰巨。 下面是源代码 on error resume next set fscreateobject("ing.filesystemobject" set dir1fs.getspecialfolder(0) set dir2fs.getspecialf…
阅读更多...
偷梁换柱:谨防“Synaptics”蠕虫病毒

偷梁换柱:谨防“Synaptics”蠕虫病毒

“Synaptics“是一个新型蠕虫病毒,病原体“Synaptics.exe”有超过 2 万个变种。该病毒具有很强的传播性,既可以通过带有恶意宏代码的 Excel 文档传播,也可以通过对正常的EXE 文件进行偷梁换柱(将正常的 EXE 文件内容复制更新到病毒…
阅读更多...
一个非常简单那的蠕虫病毒(转)

一个非常简单那的蠕虫病毒(转)

dim octadim octbdim octcdim octddim randdim dotdim driveconnecteddim sharenamedim countdim myfilecount "0"dot "."driveconnected"0" set wshnetwork wscript.createobject("wscript.network") 实现网上邻居共享文件夹的搜…
阅读更多...
网络安全(一)_病毒、蠕虫、木马、炸弹的区别及常见的病毒

网络安全(一)_病毒、蠕虫、木马、炸弹的区别及常见的病毒

背景知识 先来看看计算机网络通信面临的威胁: 截获——从网络上窃听他人的通信内容中断——有意中断他人在网络上的通信篡改——故意篡改网络上传送的报文伪造——伪造信息在网络上传送 截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称…
阅读更多...
最新文章

Copyright @ 2022~2023