incaseformat蠕虫病毒突发事件分析(附应急处理办法)
2021-01-14 12:11:03 Author: www.freebuf.com(查看原文) 阅读量:205 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

TAG: incaseformat 蠕虫 传播

TLP: 白(报告转发及使用不受限制)

日期: 2021-01-13

事件背景

近日,微步在线收到国内多家客户反馈办公设备被名为 incaseformat 蠕虫病毒感染,受害者机器中除了系统盘以外,其他文件全部被删除。

incaseformat 蠕虫病毒发现至今已有10多年历史,一般通过 U 盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为 incaseformat.log 的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。

威胁分析

手工排查方法

1. 检测是否存在以下文件:

  • C:\Windows\tsay.exe
  • C:\Windows\ttry.exe

2. 检测注册表路径 “HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce”是否存在“msfsa”项。

3. 如无法确定文件是否为恶意,可提交至微步在线S沙箱。

解决方案

  1. 办公设备不使用 U 盘等移动存储工具,在必要情况下,使用前进行 U 盘查杀。

  2. 不随便打开共享文件,并通过正规官方渠道下载软件。

  3. 关闭文件共享目录或者设置共享目录为只读模式。

  4. 保持系统以及软件及时更新,定期排查内部系统漏洞、弱口令等。

  5. 机器中招后首先进行查杀处置,清除病毒后,可使用第三方数据恢复工具尝试进行恢复。查杀工具可使用 USBCleaner(www.usbcleaner.cn) 或者其他杀毒软件。

总结

蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点,一般不具备针对特定目标性,并且无需人为干预即可进行不断的传播。一旦被感染意味着受害者本身也是传播节点之一。大部分蠕虫病毒已有专杀工具,可使用专杀工具对病毒进行清理。但感染蠕虫病毒可能会影响电脑使用以及数据丢失,所以预防感染蠕虫病毒还需提高自身安全意识,培养良好的办公习惯。


文章来源: https://www.freebuf.com/news/260781.html
如有侵权请联系:admin#unsafe.sh