成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

為何incaseformat病毒今日集中爆發,下次爆發時間為?

安全 網站安全
經調查,該蠕蟲正常情況下表現為文件夾蠕蟲,集中爆發是由于病毒代碼中內置了部分特殊日期。

近日,深信服安全團隊監測到一種名為incaseformat病毒,全國各個區域都出現了被incaseformat病毒刪除文件的用戶。經調查,該蠕蟲正常情況下表現為文件夾蠕蟲,集中爆發是由于病毒代碼中內置了部分特殊日期,在匹配到對應日期后會觸發蠕蟲的刪除文件功能,爆發該蠕蟲事件的用戶感染時間應該早于1月13號,根據分析推測,下次觸發刪除文件行為的時間約為2021年1月23日和2月4日。

該蠕蟲病毒運行后會檢測自身執行路徑,如在windows目錄下則會將其他磁盤的文件進行遍歷刪除,并留下一個名為incaseformat.log的空文件:

如當前執行路徑不在windows目錄,則自復制在系統盤的windows目錄下,并創建RunOnce注冊表值設置開機自啟:

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 

值: C:\windows\tsay.exe

情況看似簡單,但令人不解的是,該蠕蟲是通過什么方式進行傳播的呢?又為何會集中爆發?

經過安全專家對病毒文件和威脅情報的詳細分析,有了新的發現。該蠕蟲病毒由Delphi語言編寫,最早出現于2009年,此后每年都有用戶在網絡上發帖求助該病毒的解決方案解決方案:

正常情況下,該病毒表現為一種文件夾蠕蟲,和其他文件夾蠕蟲病毒一樣,通過文件共享或移動設備進行傳播,并會在共享目錄或移動設備路徑下將正常的文件夾隱藏,自己則偽裝成文件夾的樣子。

然而,與其他文件夾蠕蟲不同的是,incaseformat蠕蟲病毒在代碼中內置了一個“定時條件”,蠕蟲會獲取受感染主機的當前時間,然后通過EncodeDate和EncodeTime函數進行聚合:

獲取到時間后,程序與指定的時間進行了比對,觸發文件刪除的條件為:

  1. 年份>2009,月份>3,日期=1 或 日期=10 或 日期=21 或 日期=29 

自2009年起,每年4月后的1號、10號、21號和29號會觸發刪除文件操作:

然后通過DecodeDate函數拆分日期,奇妙的是,該程序中的Delphi庫可能出現了錯誤,導致轉換后的時間與真實的主機時間并不相符,因此真實觸發時間與程序設定條件不相同(原本2010年4月1日愚人節啟動時間,錯誤轉換成為2021年1月13日):

分析人員計算隨后會觸發刪除文件操作的日期為,2021年1月23和2月4號:

深入分析發現,導致病毒計算日期發生錯誤的原因是由于DecodeDate中,DateTimeToTimeStamp用于計算的一個變量發生異常:

由于文件夾蠕蟲感染后沒有給主機帶來明顯的損失,大多數用戶都會疏于防范,且文件蠕蟲主要通過文件共享和移動設備傳播,一旦感染后容易快速蔓延內網,很多此次爆發現象的主機可能在很早前就已經感染。

對此,針對該蠕蟲病毒向廣大用戶提出防范建議:

若未出現感染現象(其他磁盤文件還未被刪除):

  • 勿隨意重啟主機,先使用安全軟件進行全盤查殺,并開啟實時監控等防護功能;
  • 不要隨意下載安裝未知軟件,盡量在官方網站進行下載安裝;
  • 盡量關閉不必要的共享,或設置共享目錄為只讀模式;深信服EDR用戶可使用微隔離功能封堵共享端口;
  • 嚴格規范U盤等移動介質的使用,使用前先進行查殺;

若已出現感染現象(其他磁盤文件已被刪除):

  • 使用安全軟件進行全盤查殺,清除病毒殘留;
  • 可嘗試使用數據恢復類工具進行恢復,恢復前盡量不要占用被刪文件磁盤的空間,由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數據,可能仍有一定幾率進行恢復;

我們為廣大用戶提供免費查殺工具,可下載如下工具,進行檢測查殺:

  • 64位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
  • 32位系統下載鏈接:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

最后,也再次提醒廣大用戶,安全無小事,一定要做好重要數據備份,以及主機安全防護措施,才能防患于未然!

 

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2021-01-14 17:37:49

工具病毒安全

2021-01-14 16:28:15

蠕蟲病毒刪除系統安全專家

2020-04-15 21:55:00

物聯網病毒IOT

2012-02-21 08:56:42

云計算云應用

2021-01-20 23:48:57

FreakOut僵尸網絡漏洞

2017-12-21 14:50:37

2012-04-22 20:56:49

Android

2010-04-27 08:34:58

2010-04-23 19:54:16

2021-01-14 23:24:38

incaseforma蠕蟲病毒

2011-02-18 16:43:52

2010-09-29 10:37:02

2020-09-17 09:37:36

云計算公共云

2015-09-25 09:03:08

2014-09-11 14:46:51

2021-02-02 15:22:42

品高存儲預警

2023-10-13 18:07:25

WindowsLinux系統

2009-10-27 10:22:48

Android程序

2010-05-06 14:38:09

云計算

2011-11-21 09:55:32

NFC
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 宅女噜噜66国产精品观看免费 | 亚洲成人午夜电影 | 亚洲综合久久久 | 日韩欧美在线观看视频 | 成人区精品 | 一区二区在线免费观看 | 日韩一级免费电影 | 国产高清免费 | 91欧美精品成人综合在线观看 | 国产成人精品综合 | 久久九 | 在线一区二区观看 | 永久精品| 91免费福利视频 | 成人国产精品免费观看 | 九九热精 | 国产精品一区二区久久久久 | 国产99久久精品一区二区永久免费 | 精品一区二区三区不卡 | 日韩久久精品电影 | 亚洲视频一区二区三区 | 在线日韩视频 | 在线观看av中文字幕 | 日韩精品亚洲专区在线观看 | 亚洲最大av网站 | 91免费观看在线 | 在线免费观看黄色网址 | 久久久久久久久国产精品 | 成人h动漫精品一区二区器材 | 亚洲一区二区欧美 | 一区二区三区四区av | 国产精品视频一区二区三区 | 国产一区二区免费在线 | 日本高清aⅴ毛片免费 | 久久中文字幕一区 | 亚洲在线日韩 | 国产精品a久久久久 | 中文字幕一页二页 | 56pao在线 | 国产精品黄色 | 中文在线观看视频 |