摘要:

近期發(fā)現(xiàn)有多區(qū)域用戶(hù)被incaseformat蠕蟲(chóng)感染，蠕蟲(chóng)運(yùn)行后會(huì)批量刪除磁盤(pán)文件。用戶(hù)可先嘗試進(jìn)行數(shù)據(jù)恢復(fù)進(jìn)行止損。

簡(jiǎn)要分析:

樣本會(huì)自我復(fù)制到%SystemRoot%目錄下，并重命名為重新命名為

tsay.exe和ttry.exe，并且會(huì)添加注冊(cè)表項(xiàng)。

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

增加自啟動(dòng)，自啟動(dòng)程序指向C:\windows\tsay.exe

同時(shí)還會(huì)復(fù)制自身到除系統(tǒng)分區(qū)以外所有分區(qū)的根目錄下，將分區(qū)下已存在的文件夾隱藏，并且以這些文件夾的名稱(chēng)命名。這也是傳播擴(kuò)散的主要方式。

并且還會(huì)強(qiáng)行篡改注冊(cè)表，導(dǎo)致系統(tǒng)中的隱藏已知文件夾類(lèi)型的擴(kuò)展名選項(xiàng)功能失效，這樣就無(wú)法查看文件后綴，以文件夾圖標(biāo)迷惑用戶(hù)。

樣本在特定時(shí)間條件下最終會(huì)遍歷刪除系統(tǒng)盤(pán)符外的所有文件，并且在根路徑下留下incaseformat.log文件，

這個(gè)暴力刪除操作，樣本是會(huì)判斷時(shí)間的，原先設(shè)定為大于2009年的大于3月的每個(gè)月的1號(hào)、10號(hào)、21號(hào)、29號(hào)進(jìn)行，而這里由于蠕蟲(chóng)病毒代碼編寫(xiě)出現(xiàn)了一點(diǎn)的問(wèn)題，導(dǎo)致判斷時(shí)間出現(xiàn)了偏差，導(dǎo)致原先應(yīng)該早就爆發(fā)的暴力刪除操作，推遲到今天才執(zhí)行。

實(shí)際上樣本已經(jīng)存在很久，從安恒威脅情報(bào)中心平臺(tái)上觀(guān)察樣本至少在14年就已經(jīng)存在。

并且發(fā)現(xiàn)國(guó)內(nèi)一些站點(diǎn)也存在被感染，同時(shí)文件能夠被傳播下載的情形。

如某招聘網(wǎng)站上，目前仍可下載。

h**p://pic.n***zpw.com/uploads/exam/pic/1134/431121199511125219_1557290605799.exe

防御建議:

安恒APT攻擊預(yù)警平臺(tái)能夠發(fā)現(xiàn)已知或未知威脅，平臺(tái)能實(shí)時(shí)監(jiān)控、捕獲和分析惡意文件或程序的威脅性，并能夠?qū)︵]件投遞、漏洞利用、安裝植入、回連控制等各個(gè)階段關(guān)聯(lián)的木馬等惡意樣本進(jìn)行強(qiáng)有力的監(jiān)測(cè)。

同時(shí)，平臺(tái)根據(jù)雙向流量分析、智能的機(jī)器學(xué)習(xí)、高效的沙箱動(dòng)態(tài)分析、豐富的特征庫(kù)、全面的檢測(cè)策略、海量的威脅情報(bào)等，對(duì)網(wǎng)絡(luò)流量進(jìn)行深度分析。檢測(cè)能力完整覆蓋整個(gè)APT攻擊鏈，有效發(fā)現(xiàn)APT攻擊、未知威脅及用戶(hù)關(guān)心的網(wǎng)絡(luò)安全事件。

安恒主機(jī)衛(wèi)士EDR通過(guò)“平臺(tái)+端”分布式部署，“進(jìn)程阻斷+誘餌引擎”雙引擎防御已知及未知類(lèi)型威脅。

轉(zhuǎn)自安恒威脅情報(bào)中心