01 背 景
2021年1月13日,Incaseformat 蠕虫病毒爆发,在全网引起了大量用户的高度关注。华云安迅速确认该蠕虫事件,并第一时间对该病毒进行分析。
Incaseformat 蠕虫病毒发现至今已有10多年历史,一般通过 U 盘进行传播,并不具备网络传播的功能。该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为 incaseformat.log 的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。
02 样本概况
样本名称:tsay.exe 、ttry.exe
是否加壳:未加壳
MD5值:4B982FE1558576B420589FAA9D55E81A
SHA1值:A858C92A664491D1195370C20F2E4FA6B6AE5C3C
CRC32:811E3EA9
测试环境:Win7(32位)
03 行为分析
静态分析
该病毒样本,伪装成文件夹,其实是可执行文件,当用户误以为是文件夹,而双击打开时,就能成功执行病毒。
通过PEid,确认该程序是Delphi编译的程序,未加壳。
查看区段表,发现CODE段,可以确定是Delphi编译的程序。
动态分析
首先会拷贝自身到C盘Windows目录下。
创建注册表自启动。
此时,病毒并不会执行。当电脑重启后,tsay.exe自启动,复制一份副本C:\Windows\ttry.exe,并且执行。
ttry.exe执行主逻辑,清除系统盘之外的其他磁盘。同时还会复制自身到除系统分区以外所有分区的根目录下。实时监控,将分区下新建或已存在的文件夹隐藏。复制自身,并以该文件夹名称命名 。
并且还会强行篡改注册表,导致系统中的"显示系统隐藏文件"功能以及"显示文件扩展名"功能失效。
涉及的注册表项包括:
经测试,源文件夹并不会立即删除,只是被隐藏,并且"显示系统隐藏文件"功能失效。
样本只有在特定时间条件下才会遍历删除系统盘符外的所有文件。
2009(0x7D9)年3月以后的每个月的1号、10号、21号、29号执行删除指令。
04 详细分析
根据关键字符串,定位关键函数0x44EFB0
IDA跳转关键函数。
首先判断文件是否存在,如果不存在,拷贝文件至C:\windows\tasy.exe
然后打开修改注册表。
启动后判断自身文件路径是否为 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe",当路径名为 "C:\windows\ttry.exe" 才会执行下一步。
在删除文件的主逻辑中,首先通过前缀路径.匹配所有文件名。
然后递归删除文件。
通过交叉引用,跳转至父函数可以看到满足设定日期时,才会删除文件。
由于调用的函数“Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为“5A75CC4h(94854340ms)”,导致时间戳换算结果错误,最终导致13日文件删除的爆发。
05 解决方案
由于该病毒只有在Windows平台下执行时会触发删除文件行为,重启会导致病毒在Windows平台下自启动。因此:
1、在设备被感染的第一时间,切忌重启;
2、注意全盘杀毒,修复注册表;
3、禁止U盘自启动;
4、如若文件已经删除,立刻切断电源,使用数据恢复软件进行数据恢复。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工
作,每周日13:00-18:00直播授课