一. 事件背景
近日,微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染,受害者机器中除了系统盘以外,其 他文件全部被删除。
incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件, 并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所 以直到2021年1月13日才被触发。
二. 威胁分析
incaseformat蠕虫病毒运行后,会首先判断是否在系统盘目录下和自身文件名,随后进行自复制和设置注册表自启动, 启动后判断自身文件路径是否为”C:windowstsay.exe”或者”C:windowsttry.exe”,当路径名为”C:windowsttry.exe”才会 下一步运行。
三. 手工排查方法
-
检测是否存在以下文件 C:Windowstsay.exe C:Windowsttry.exe
-
检测注册表路径“HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOn ce”是否存在“msfsa”项。
-
如无法确定文件是否为恶意,可提交至微步在线S沙箱。
四、. 解决方案
- 办公设备不使用U盘等移动存储工具,在必要情况下,使用前进行U盘查杀。
- 不随便打开共享文件,并通过正规官方渠道下载软件。
- 关闭文件共享目录或者设置共享目录为只读模式。
- 保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等。
- 机器中招后首先进行查杀处置,清除病毒后,可使用第三方数据恢复工具尝试进行恢复。查杀工具可使用USBCleane r(www.usbcleaner.cn)或者其他杀毒软件。
五. 总结
蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点,一般不具备针对特定目标性,并且无需人为干预即可进行 不断的传播。一旦被感染意味着受害者本身也是传播节点之一。大部分蠕虫病毒已有专杀工具,可使用专杀工具对病毒 进行清理。但感染蠕虫病毒可能会影响电脑使用以及数据丢失,所以预防感染蠕虫病毒还需提高自身安全意识,培养良 好的办公习惯。
23 可能会再次爆发,请大家做好终端防护,定期进行病毒查杀!
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!