incaformat蠕虫病毒样本分析及查杀防范措施

incaseformat蠕虫病毒主要针对windows系统,删除非系统盘所有文件,通过tsay.exe和ttry.exe进行感染,利用RunOnce注册表自启动。防范包括删除相关文件,修复注册表,安装安全软件并定期查杀。

一、病毒简介

病毒名称:incaseformat
病毒性质:蠕虫病毒
影响范围:windows 操作系统
危害等级:紧急
病毒影响:删除除系统盘外的所有文件

二、样本分析

1.样本信息
md5:4b982fe1558576b420589faa9d55e81a
sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c
sha256:ff84e79cae99f5714f363588bc8238096249a85d34982b8d8c9ac2f9c3a639e8
主要文件名为 tsay.exe 和 ttry.exe。
该样本在 windows 下显示的图标形如文件夹图标,具有一定的欺骗性。
在这里插入图片描述

2.样本行为
样本在非 windows 目录下运行,会拷贝副本至 C:\windows\ttry.exe、C:\windows\tsay.exe, 并创建 RunOnce 注册表值设置开机自启。
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\R
unOnce\msfsa
注册表值:
C:\windows\tsay.exe
在这里插入图片描述

此时并不会删除数据
如果样本是在 windows 目录下运行,会复制自身到同目录下,并且修改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hi
deFileExt
的值为 1
在这里插入图片描述

修改
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advance
d\Folder\Hidden\SHOWALL\checkedvalue
的值为 0
在这里插入图片描述

目的是为了实现关闭 windows 的后缀显示,如本来用户看到的文件名是“tsay.exe”,不显
示后缀名后看到的是“tsay”,因为样本图标做了伪装,从而达到了让用户误以为这是一个
文件夹的目的。在这里插入图片描述

同时会删除除了系统盘外的所有路径下的文件,并且在磁盘根目录下留下名为
incaseformat.log 的空文件。
在这里插入图片描述

三、查杀与恢复方式

  1. 检查 Windows 目录下是否存在 tsay.exe 和 ttry.exe 文件,如果有立即删除。
  2. 检查注册表中是否存在下面的记录,如有请立即删除:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\R
    unOnce\msfsa
  3. 全盘查杀是否存在该病毒文件,目前大部分安全厂商的终端防护产品支持对该样本的查
    杀。
  4. 检查病毒的植入的入口,并做相应的防范措施。
  5. 如果除系统盘外的其他路径已经被清空,请不要重启电脑,可以先从隐藏文件中把数据
    先拷贝出来,或者使用第三方数据恢复软件来恢复,成功率几乎百分百。

四、预防措施

  1. 不要运行来历不明的软件。
  2. 下载软件尽量从官网下载,并对比 hash。 3. 安装终端安全防护软件,并保持最新的规则库。 4. 对移动介质如 U 盘之类的,定期查杀。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值