查看: 3486|回复: 8
收起左侧

[安全行业] 360:近期蠕虫病毒大范围爆发,中毒重启 20 秒后狂删电脑文件

[复制链接]
蓝天二号
发表于 2021-1-13 20:43:37 | 显示全部楼层 |阅读模式
1 月 13 日晚间消息,360 公司今日表示,近期检测到蠕虫病毒 incaseformat 大范围爆发,病毒感染用户机器后会通过 U 盘自我复制感染到其他电脑,导致电脑中磁盘文件被删除,给用户造成极大损失。
20210113203920_9142.jpg
360 安全大脑发现,用户电脑中毒后,病毒文件通过 DeleteFileA 和 RemoveDirectory 代码实施了删除文件和目录的行为。

此病毒启动后将自身复制到 C:\WINDOWS\tsay.exe 并创建启动项退出,等待重启运行,下次开机启动后约 20s 就开始删除用户文件。
蒙宝宝
发表于 2021-1-13 21:08:23 | 显示全部楼层
360能防住不
牧笛者
发表于 2021-1-13 21:12:12 来自手机 | 显示全部楼层
有样本?大概搜了下至少9年前就有这个病毒了嘛
1562859748
发表于 2021-1-13 21:35:54 | 显示全部楼层
没找到解决方法
Axigua123
发表于 2021-1-13 21:36:34 来自手机 | 显示全部楼层
user用户表示毫无压力,它无法将自身复制到windows目录,除非利用了提权漏洞
朦胧的风
发表于 2021-1-14 08:27:27 | 显示全部楼层
经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件

沧桑浪子
发表于 2021-1-14 08:28:51 | 显示全部楼层
病毒样本区有无样本?或者谁给一个MD5
ask007
发表于 2021-1-14 08:38:36 | 显示全部楼层
还是XP上的?
jeijunnong
发表于 2021-1-14 10:01:53 | 显示全部楼层
截图这是用虚拟机XP系统测试么
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:12 , Processed in 0.142321 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表