2021incaseformat蠕蟲病毒
- 一、病毒簡介
- 二、樣本分析
- 三、查殺與恢復方式
- 四、預防措施
一、病毒簡介
病毒名稱:incaseformat
病毒性質:蠕蟲病毒
影響范圍:windows 作業系統
危害等級:緊急
病毒影響:洗掉除系統盤外的所有檔案
二、樣本分析
1.樣本資訊
md5:4b982fe1558576b420589faa9d55e81a
sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c
sha256:ff84e79cae99f5714f363588bc8238096249a85d34982b8d8c9ac2f9c3a639e8
主要檔案名為 tsay.exe 和 ttry.exe,
該樣本在 windows 下顯示的圖示形如檔案夾圖示,具有一定的欺騙性,
2.樣本行為
樣本在非 windows 目錄下運行,會拷貝副本至 C:\windows\ttry.exe、C:\windows\tsay.exe, 并創建 RunOnce 注冊表值設定開機自啟,
注冊表路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
或
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\R
unOnce\msfsa
注冊表值:
C:\windows\tsay.exe
此時并不會洗掉資料
如果樣本是在 windows 目錄下運行,會復制自身到同目錄下,并且修改注冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hi
deFileExt
的值為 1
修改
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advance
d\Folder\Hidden\SHOWALL\checkedvalue
的值為 0
目的是為了實作關閉 windows 的后綴顯示,如本來用戶看到的檔案名是“tsay.exe”,不顯
示后綴名后看到的是“tsay”,因為樣本圖示做了偽裝,從而達到了讓用戶誤以為這是一個
檔案夾的目的,
同時會洗掉除了系統盤外的所有路徑下的檔案,并且在磁盤根目錄下留下名為
incaseformat.log 的空檔案,
三、查殺與恢復方式
- 檢查 Windows 目錄下是否存在 tsay.exe 和 ttry.exe 檔案,如果有立即洗掉,
- 檢查注冊表中是否存在下面的記錄,如有請立即洗掉:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
和
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\R
unOnce\msfsa - 全盤查殺是否存在該病毒檔案,目前大部分安全廠商的終端防護產品支持對該樣本的查
殺, - 檢查病毒的植入的入口,并做相應的防范措施,
- 如果除系統盤外的其他路徑已經被清空,請不要重啟電腦,可以先從隱藏檔案中把資料
先拷貝出來,或者使用第三方資料恢復軟體來恢復,成功率幾乎百分百,
四、預防措施
- 不要運行來歷不明的軟體,
- 下載軟體盡量從官網下載,并對比 hash, 3. 安裝終端安全防護軟體,并保持最新的規則庫, 4. 對移動介質如 U 盤之類的,定期查殺,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/249515.html
標籤:其他
上一篇:軟體工程軟考題目總結
下一篇:HCIP之VLAN的配置