查看: 24619|回复: 0
收起左侧

[技术原创] “incaseformat”蠕虫病毒入侵,腾讯iOA、管家均可查杀

[复制链接]
腾讯电脑管家
发表于 2021-1-14 09:33:04 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2021-1-14 09:44 编辑

有网友反应遭遇“incaseformat”病毒攻击,硬盘除C盘外,其他分区文件被删除,仅保留一个名为“incaseformat.log”的0字节文件。腾讯安全专家分析后发现,这是一个很古老的蠕虫病毒。腾讯iOA、腾讯御点、腾讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文件恢复的概率也较高。


该病毒在非Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自启动,拷贝自身到windows目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe),同时设置注册表runonce的msfsa项。


当病毒在windows 目录下(C:\Windows\tsay.exe、C:\Windows\ttry.exe)运行时,会修改注册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目录留下名为incaseformat.log的空文件。


该病毒出现很早,同源变种样本也有数百个之多。腾讯零信任无边界访问控制系统(iOA)、腾讯御点、腾讯电脑管家及其他主流杀毒软件均可查杀。用户只要开启杀毒软件的实时防护即可有效防御。当病毒改写注册表的启动项时,安全软件也会报警。

腾讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病毒发作文件被删除。

由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在2021年1月13日触发删除文件等操作(下一次发作是1月23日)。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。

腾讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单,可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大(SSD硬盘例外,因存储机制不同,删除后难以恢复。)




IOCs
MD5(部分同源样本)
ef5b7e56bfb0fa8106ed34d03fac1c54
8c2684749c3fb167f461fd232949a19d
a4063fdcca320255b6cbf346b136729f
bd3ec766a3e9b06de1fc5814c683631b
d7bfa872efe8abf74ea9bbe0cd4602a8
d223e83d01acbf7681d7e8f88f03151b
bb7b42ad834ad913d940d07ccb07acbb
a1b1cfa4cb764163967c33e297e61bc3
b47a2e878a90fc69edeb291c601e4016
93bd1f3cbe0e17705b7e871aa277e3cb
08b23af62b33dadff2f3e83ce1281127
bc538c071683816ae9f37aff51d615a0
15a072207501195802968ff7c79e6a69
7c82fe43617d43fb2f8b77bfa480571b
9f3bcbd38ee225690ed613d518c101f9
4b9b17a4c93e31ba7ef7eeaa930e5caf
3a27dc421e70d4b5b054d7e1e3ff2335

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:59 , Processed in 0.124177 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表