记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

incaseformat蠕虫样本分析及查杀防范措施

2021-01-13 20:57

一、病毒简介

病毒名称:incaseformat

病毒性质:蠕虫病毒

影响范围:windows操作系统

危害等级:紧急

病毒影响:删除除系统盘外的所有文件

 

二、样本分析

1.样本信息

md5:4b982fe1558576b420589faa9d55e81a

sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c

sha256:ff84e79cae99f5714f363588bc8238096249a85d34982b8d8c9ac2f9c3a639e8

 

主要文件名为tsay.exettry.exe

该样本在windows下显示的图标形如文件夹图标,具有一定的欺骗性。


 

 

2.样本行为

样本在非windows目录下运行,会拷贝副本至C:\windows\ttry.exe、C:\windows\tsay.exe,并创建RunOnce注册表值设置开机自启。

 

注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

注册表值:

C:\windows\tsay.exe

此时并不会删除数据

 

如果样本是在windows目录下运行,会复制自身到同目录下,并且修改注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

1


修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue

的值为0

 


目的是为了实现关闭windows的后缀显示,如本来用户看到的文件名是“tsay.exe”,不显示后缀名后看到的是“tsay”,因为样本图标做了伪装,从而达到了让用户误以为这是一个文件夹的目的。


 

同时会删除除了系统盘外的所有路径下的文件,并且在磁盘根目录下留下名为incaseformat.log的空文件。


 

 

三、查杀与恢复方式

1. 检查Windows目录下是否存在tsay.exe和ttry.exe文件,如果有立即删除。

2. 检查注册表中是否存在下面的记录,如有请立即删除:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

3. 全盘查杀是否存在该病毒文件,目前大部分安全厂商的终端防护产品支持对该样本的查杀。

4. 检查病毒的植入的入口,并做相应的防范措施。

5. 如果除系统盘外的其他路径已经被清空,请不要重启电脑,可以先从隐藏文件中把数据先拷贝出来,或者使用第三方数据恢复软件来恢复,成功率几乎百分百。

 

 

四、预防措施

1. 不要运行来历不明的软件。

2. 下载软件尽量从官网下载,并对比hash。

3. 安装终端安全防护软件,并保持最新的规则库。

4. 对移动介质如U盘之类的,定期查杀。



本文文档下载:

incaseformat蠕虫样本分析及查杀防范措施.pdf



知识来源: https://mp.weixin.qq.com/s?__biz=MzIyNDkwNjQ5Ng==&mid=2247484492&idx=1&sn=f390e631f9e66cf85fd022c925fea9d5

阅读:12923 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“incaseformat蠕虫样本分析及查杀防范措施”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云