2021年1月13日,一種名為incaseformat的蠕蟲病毒在全國各地爆發,浙江中控技術股份有限公司工控網絡安全應急響應中心supCERT也接到客戶反映磁盤文件被清空,疑似中了該病毒,并有多個客戶咨詢中控技術的安全防護產品能否防御此次爆發的病毒,supCERT安全工程師得到樣本后第一時間對病毒進行分析。
一 病毒機理分析
樣本文件名: tsay.exe/ttry.exe
文件大小: 496640 字節
MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E
SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA
CRC32: AFE5FF81
圖1 病毒詳情
圖2 病毒文件
該病毒使用delphi編寫,病毒會偽裝為文件夾圖標,感染病毒后,病毒會將自身復制到C:\Windows目錄下,并創建注冊表自啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
圖3 自身復制
圖4 寫注冊表自啟動
當病毒在C:\Windows目錄下運行時,會修改注冊表禁用顯示隱藏文件,并判斷系統時間,滿足條件時遍歷磁盤,刪除除C盤外的所有文件,并在根目錄留下incaseformat.log文件。
圖5 修改注冊表
圖6 刪除文件生成incaseformat.log
值得注意的是作為一個老病毒,因為使用了delphi庫中的DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤,最終導致 DecodeDate 計算轉換出的系統當前時間錯誤,直到2021年1月13日才觸發了刪除文件的代碼邏輯,導致大規模爆發。該病毒設定的刪除日期不止1月13日,距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的風險。
解決方案
經supCERT驗證,該病毒不具備網絡傳播的功能,主要是通過USB等設備傳播且只有在C:\Windows目錄下運行時才會執行刪除文件等惡意操作,而重啟電腦則是導致其執行惡意操作的主要途徑。
若發現 C:\Windows目錄下存在名為tsay.exe/ttry.exe的病毒文件,可以直接刪除病毒文件,在刪除之前請不要重啟電腦。然后排查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce是否存在病毒的自啟動項。
經驗證,在安裝了中控技術主機安全衛士VxDefender的電腦上開啟白名單防護功能,并確認白名單列表中未包含tsay.exe和ttry.exe文件,則無論重啟或是直接雙擊運行C:\Windows目錄下的病毒文件,都可以成功攔截incaseformat病毒。
圖7 主機安全衛士主界面
圖8 程序白名單攔截提示
圖9 程序白名單攔截提示
圖10 程序白名單攔截日志
中控技術主機安全衛士專業版VxDefender Pro已內置黑名單殺毒引擎,可使用病毒查殺功能成功查殺隔離該病毒,有效地保證工業主機的安全穩定運行。
圖11 主機安全衛士專業版病毒查殺功能
安全建議
1. 不要下載或點擊未知來源的文件
2. 嚴格規范U盤等移動存儲設備的使用
3. 安裝殺毒軟件,定期進行掃描殺毒
4. 安裝主機安全防護產品
