TAG: incaseformat 蠕虫 传播

TLP: 白(报告转发使用不受限制)

日期: 2021-01-13

事件背景

近日，微步在线收到国内众多客户反馈，办公设备被称为 incaseformat 蠕虫病毒感染，除系统盘外，所有其他文件都被删除。

incaseformat 蠕虫病毒发现至今已有10多年历史，一般通过 U 磁盘传播，蠕虫病毒将删除系统磁盘以外的文件，并在根目录下创建名称 incaseformat.log 在病毒代码中设置变量值的错误导致计算当前系统时间的错误，因此直到 2021 年 1 月 13 日才被触发。

威胁分析

incaseformat 蠕虫病毒运行后，首先判断是否在系统磁盘目录中和自己的文件名称，然后复制并设置注册表，判断自己的文件路径是否为 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe"，当路径名为 "C:\windows\ttry.exe" 下一步才会运行。

然后在主要恶意代码中，由于调用函数Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为5A75CC4h（94854340ms）时间戳换算结果是错误的。

由于上述代码中时间转换错误，恶意代码逻辑判断错误，触发后续文件删除功能。

手工调查方法

1. 检测以下文件是否存在：

C:\Windows\tsay.exeC:\Windows\ttry.exe

2. 检查登记表路径 “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce是否存在存在msfsa”项。

3. 如不确定文件是否恶意，可提交微步在线S沙箱。

办公设备不使用解决方案 U 必要时使用盘等移动存储工具 U 盘查杀。不要随意打开共享文件，并通过正式的官方渠道下载软件。关闭文件共享目录或者设置共享目录为只读模式。及时更新系统和软件，定期检查内部系统的漏洞和弱密码。第三方数据恢复工具可在机器中招后进行查杀处理。可使用查杀工具 USBCleaner(www.usbcleaner.cn) 或其它杀毒软件。

总结

蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点，一般不针对特定目标，无需人工干预即可持续传播。一旦被感染，受害者本身就是传播节点之一。大多数蠕虫病毒都有专杀工具，可以用专杀工具清理病毒。但蠕虫病毒的感染可能会影响计算机的使用和数据的丢失，因此需要提高自身的安全意识，培养良好的办公习惯来预防蠕虫病毒的感染。