01 背 景

2021年1月13日，Incaseformat 蠕虫病毒爆发，在全网引起了大量用户的高度关注。华云安迅速确认该蠕虫事件，并第一时间对该病毒进行分析。

Incaseformat 蠕虫病毒发现至今已有10多年历史，一般通过 U 盘进行传播，并不具备网络传播的功能。该蠕虫病毒会遍历删除系统盘以外的文件，并在根目录下创建名为 incaseformat.log 的空文件，由于病毒代码中设置变量值的错误，导致计算当前系统时间出错，所以直到 2021 年 1 月 13 日才被触发。

02 样本概况

样本名称：tsay.exe 、ttry.exe

是否加壳：未加壳

MD5值：4B982FE1558576B420589FAA9D55E81A

SHA1值：A858C92A664491D1195370C20F2E4FA6B6AE5C3C

CRC32：811E3EA9

测试环境：Win7（32位）

03 行为分析

静态分析

该病毒样本，伪装成文件夹，其实是可执行文件，当用户误以为是文件夹，而双击打开时，就能成功执行病毒。

通过PEid，确认该程序是Delphi编译的程序，未加壳。

查看区段表，发现CODE段，可以确定是Delphi编译的程序。

动态分析

首先会拷贝自身到C盘Windows目录下。

创建注册表自启动。

此时，病毒并不会执行。当电脑重启后，tsay.exe自启动，复制一份副本C:\Windows\ttry.exe，并且执行。

ttry.exe执行主逻辑，清除系统盘之外的其他磁盘。同时还会复制自身到除系统分区以外所有分区的根目录下。实时监控，将分区下新建或已存在的文件夹隐藏。复制自身，并以该文件夹名称命名 。

并且还会强行篡改注册表，导致系统中的"显示系统隐藏文件"功能以及"显示文件扩展名"功能失效。

涉及的注册表项包括：

经测试，源文件夹并不会立即删除，只是被隐藏，并且"显示系统隐藏文件"功能失效。

样本只有在特定时间条件下才会遍历删除系统盘符外的所有文件。

2009（0x7D9）年3月以后的每个月的1号、10号、21号、29号执行删除指令。

04 详细分析

根据关键字符串，定位关键函数0x44EFB0

IDA跳转关键函数。

首先判断文件是否存在，如果不存在，拷贝文件至C:\windows\tasy.exe

然后打开修改注册表。

启动后判断自身文件路径是否为 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe"，当路径名为 "C:\windows\ttry.exe" 才会执行下一步。

在删除文件的主逻辑中，首先通过前缀路径.匹配所有文件名。

然后递归删除文件。

通过交叉引用，跳转至父函数可以看到满足设定日期时，才会删除文件。

由于调用的函数“Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为“5A75CC4h（94854340ms）”，导致时间戳换算结果错误，最终导致13日文件删除的爆发。

05 解决方案

由于该病毒只有在Windows平台下执行时会触发删除文件行为，重启会导致病毒在Windows平台下自启动。因此：

1、在设备被感染的第一时间，切忌重启；

2、注意全盘杀毒，修复注册表；

3、禁止U盘自启动；

4、如若文件已经删除，立刻切断电源，使用数据恢复软件进行数据恢复。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课