事件背景
2021年1月13日�����,全國各地反饋感染了所謂的incaseformat病毒�,涉及政府、醫(yī)療��、教育���、運營商等多個行業(yè)�,且感染主機多為財務管理相關(guān)應用系統(tǒng)。感染主機表現(xiàn)為所有非系統(tǒng)分區(qū)文件均被刪除��,由于被刪除文件分區(qū)根目錄下均存在名為incaseformat.log的空文件�,因此網(wǎng)絡上將此病毒命名為incaseformat。
病毒分析
從業(yè)界了解到�����,該病毒最早出現(xiàn)時間為2009年�,主流殺毒軟件廠商均將此病毒命名為Worm.Win32.Autorun(業(yè)界稱為“incaseformat”病毒),從名稱可以判斷該病毒為Windows平臺通過移動介質(zhì)傳播的蠕蟲病毒�����。
病毒文件運行后�����,首先復制自身到Windows目錄下(C:\windows\tsay.exe)���,文件圖標偽裝為文件夾�。
同時修改注冊表鍵值實現(xiàn)自啟動�,涉及注冊表項為:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
病毒文件將在計算機啟動后 20s 開始刪除用戶文件。并開始遍歷所有非系統(tǒng)分區(qū)下目錄并設置為隱藏,同時創(chuàng)建同名的病毒文件�。
此外病毒還會通過修改注冊表,實現(xiàn)不顯示隱藏文件及隱藏已知文件類型擴展名��,涉及的注冊表項包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
最后����,病毒對非系統(tǒng)分區(qū)下所有文件執(zhí)行刪除操作�,并創(chuàng)建incaseformat.log文件。
感染分析
該病毒會惡意刪除用戶磁盤文件���,加上病毒本身只能通過U盤等移動介質(zhì)進行傳播�,并無相關(guān)網(wǎng)絡傳播特征���,對用戶的計算機數(shù)據(jù)造成極大威脅����。
此次在國內(nèi)多個行業(yè)出現(xiàn)大規(guī)模感染事件�,猜測可能與相關(guān)應用系統(tǒng)的供應鏈或廠商運維有關(guān),具體傳播途徑還需做進一步溯源分析�。
解決方案
可采用世安網(wǎng)絡準入控制系統(tǒng),不僅可以對網(wǎng)絡邊界進行安全管控�,還可以聯(lián)動主流殺毒軟件廠商(例如:江民殺毒、亞信TDA、360殺毒)實現(xiàn)病毒終端的定位�,和實時隔離阻斷,防止進一步擴散��,高效把控網(wǎng)絡安全���。
近日�����,新冠病毒進一步發(fā)展��,國內(nèi)病例日益增多����,政府積極號召大家做好疫情防范措施���。
在此�����,世安網(wǎng)絡準入控制系統(tǒng)緊跟國家腳步����,聯(lián)動主流病毒廠商,進一步做好網(wǎng)絡病毒防范工作����,保障各地用戶網(wǎng)絡安全!
在線咨詢
