首页
论坛
课程
招聘
[原创]关于Incaseformat蠕虫病毒的超详细版分析
2021-1-15 14:06 2862

[原创]关于Incaseformat蠕虫病毒的超详细版分析

2021-1-15 14:06
2862

01 背 景

2021年1月13日,Incaseformat 蠕虫病毒爆发,在全网引起了大量用户的高度关注。华云安迅速确认该蠕虫事件,并第一时间对该病毒进行分析。

 

Incaseformat 蠕虫病毒发现至今已有10多年历史,一般通过 U 盘进行传播,并不具备网络传播的功能。该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为 incaseformat.log 的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。

02 样本概况

样本名称:tsay.exe 、ttry.exe

 

是否加壳:未加壳

 

MD5值:4B982FE1558576B420589FAA9D55E81A

 

SHA1值:A858C92A664491D1195370C20F2E4FA6B6AE5C3C

 

CRC32:811E3EA9

 

测试环境:Win7(32位)

03 行为分析

静态分析

该病毒样本,伪装成文件夹,其实是可执行文件,当用户误以为是文件夹,而双击打开时,就能成功执行病毒。
图片描述
通过PEid,确认该程序是Delphi编译的程序,未加壳。
图片描述

 

查看区段表,发现CODE段,可以确定是Delphi编译的程序。
图片描述

动态分析

首先会拷贝自身到C盘Windows目录下。
图片描述
图片描述

 

创建注册表自启动。
图片描述

 

图片描述

 

此时,病毒并不会执行。当电脑重启后,tsay.exe自启动,复制一份副本C:\Windows\ttry.exe,并且执行。

 

图片描述

 

ttry.exe执行主逻辑,清除系统盘之外的其他磁盘。同时还会复制自身到除系统分区以外所有分区的根目录下。实时监控,将分区下新建或已存在的文件夹隐藏。复制自身,并以该文件夹名称命名 。

 

图片描述

 

并且还会强行篡改注册表,导致系统中的"显示系统隐藏文件"功能以及"显示文件扩展名"功能失效。

 

图片描述
图片描述

 

涉及的注册表项包括:
图片描述

 

经测试,源文件夹并不会立即删除,只是被隐藏,并且"显示系统隐藏文件"功能失效。
图片描述

 

图片描述

 

样本只有在特定时间条件下才会遍历删除系统盘符外的所有文件。

 

2009(0x7D9)年3月以后的每个月的1号、10号、21号、29号执行删除指令。

 

图片描述

 

04 详细分析

 

根据关键字符串,定位关键函数0x44EFB0

 

图片描述

 

IDA跳转关键函数。

 

图片描述

 

首先判断文件是否存在,如果不存在,拷贝文件至C:\windows\tasy.exe

 

图片描述

 

然后打开修改注册表。
图片描述

 

启动后判断自身文件路径是否为 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe",当路径名为 "C:\windows\ttry.exe" 才会执行下一步。

 

图片描述

 

在删除文件的主逻辑中,首先通过前缀路径.匹配所有文件名。

 

图片描述

 

然后递归删除文件。

 

图片描述

 

通过交叉引用,跳转至父函数可以看到满足设定日期时,才会删除文件。
图片描述

 

由于调用的函数“Sysutils::DateTimeToTimeStamp”中 dword_450180 变量值错误设置为“5A75CC4h(94854340ms)”,导致时间戳换算结果错误,最终导致13日文件删除的爆发。

 

图片描述

 

05 解决方案

 

由于该病毒只有在Windows平台下执行时会触发删除文件行为,重启会导致病毒在Windows平台下自启动。因此:

 

1、在设备被感染的第一时间,切忌重启;

 

2、注意全盘杀毒,修复注册表;

 

3、禁止U盘自启动;

 

4、如若文件已经删除,立刻切断电源,使用数据恢复软件进行数据恢复。


第五届安全开发者峰会(SDC 2021)议题征集正式开启!

收藏
点赞1
打赏
分享
最新回复 (3)
雪    币: 145
活跃值: 活跃值 (414)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huojier 活跃值 2021-1-15 14:20
2
1
不是,这个东西多少年了?????安全厂商们的AI智能大数据高级协议流量监测分析网闸单向检测事态感知威胁检测系统为什么要等到出问题了才感知到?
雪    币: 215
活跃值: 活跃值 (2301)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
不懂就不懂 活跃值 2 2021-1-15 14:28
3
0
huojier 不是,这个东西多少年了?????安全厂商们的AI智能大数据高级协议流量监测分析网闸单向检测事态感知威胁检测系统为什么要等到出问题了才感知到?
兄弟有才啊。
雪    币: 1
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_冰枫随寒叶cium 活跃值 2021-1-22 10:51
4
0
请问怎么把delphi反编译成这种高级代码,我用ida只能看到它的汇编样式
游客
登录 | 注册 方可回帖
返回