病毒病论坛

首页 » 常识 » 问答 » INCASEFORMAT蠕虫病毒网络传播

TUhjnbcbe - 2021/5/20 18:16:00

治白癜风长春哪家医院好 http://m.39.net/pf/a_4618892.html

报告编号：B6-01-

报告来源：CERT

报告作者：CERT

更新日期：01-01-15

0x01背景

1月13日，安全大脑检测到蠕虫病*incaseformat大范围爆发，涉及*府、医疗、教育、运营商等多个行业，该病*在感染用户机器后会通过U盘自我复制感染到其他电脑，最终导致电脑中非系统分区的磁盘文件被删除，给用户造成极大损失。由于被删除文件分区根目录下均存在名为incaseformat.log的空文件，因此网络上将此病*命名为incaseformat。

Incaseformat蠕虫病*爆发后，部分安全厂商对incaseformat病*的传播途径及安全评估进行了误判，错误评估该蠕虫病*不具有网络传播性，因此对该蠕虫的真实网络传播风险进行分析通告，希望各行业用户能够正确认识该蠕虫病*的安全风险，有效防御此类蠕虫病*的攻击。

0x0风险通告

经安全大脑的全网遥测分析研判发现，该蠕虫病*默认通过U盘等存储设备、网络文件共享的本地文件传播方式以外，还有一部分经由网络进行传播。

由于该蠕虫病*带有破坏性质的传播方法，污染了大量用户的私有数据资料文件夹，导致病*被用户误打包为ZIP、RAR等压缩包文件，通过邮件附件、网盘共享和IM通信软件等渠道对该病*进行了各种形式的二次网络传播。传播方式占比情况如下：

0x03风险分析

潜伏发作风险

incaseformat蠕虫病*默认具有“潜伏发作”的特性，每隔0秒检测一次当前的时间，如果当年大于年，月份大于3月，日期为1号、10号、1号、9号时，病*便会删除磁盘文件。

该蠕虫家族的部分病*潜伏时间存在异常情况，由于时间戳转换函数的变量值被进行了人为篡改，在程序计算时间的代码中，用于表示一天的毫秒数的变量值与实际不符（正确的值为0xC00，程序中的值为0x5A75CC4），从而导致病*一直处于潜伏状态，直至延期到01年1月13日发作。

污染文件风险

该蠕虫病*传播方式十分狡猾，会排除系统盘、回收站等路径进行自我复制，在进行自我复制时会将存储设备根目录下的正常目录隐藏，将自身复制为正常目录名的EXE可执行文件，同时EXE文件后缀名也设置为隐藏，最终将自身伪装为文件夹。这种破坏性的传播方式导致用户大量私有文件资料被悄悄替换，在无防备情况下误打包或被污染进行了二次网络传播。

0x04排查建议

1、主机排查

排查主机Windows目录下是否存在图标为文件夹、文件名为tsay.exe、ttry.exe的可疑文件，若存在该文件及时删除。

、U盘等存储设备排查

排查U盘等存储设备内是否存在图标为文件夹，但后缀名为exe的可疑文件，若存在该文件及时删除。

0x05产品侧解决方案安全分析响应平台

安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#.cn)获取对应产品。

安全卫士个人版

针对本次安全事件，用户可以通过安装安全卫士并进行全盘杀*来维护计算机安全。CERT建议广大用户使用安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

安全卫士团队版

针对本次安全事件，用户可以通过安装安全卫士并进行全盘杀*来维护计算机安全。CERT建议广大用户使用安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x06附录

IOC

注:INCASEFORMAT蠕虫同源样本量巨大，更多情报请咨询情报云（ti..cn）。

4b98febfaa9d55e81a

D6DA10CEF44DBC07CCDE65

00b05ccce3a55d

00c8cd04e44bec58db65a

00dcd7aec8d8d8da5

00faf35aa97fb7a67d6

00fbdfe9dafac4ecc0f

00ff5aea3b47f8aa8caceb

b91b96bb577c8c6b

c70cd7eb3ffeff13eae

cebd45e51fbbdb1a

d9fa9ce00ddbcf8abad

fe3e70b94a1a08b0c3ca90f79fc

ddececb8cfa80ffacc

cda8dfa77f33a60c

fc50fb7bd05f

a7bc11a1bdbbeba65a57e74bade

aab8dce0cf4eabd

da7ea01c9dae31ea6adaa9b50

dad0dc6e3b63efe6e1f

efc7eddeaeb1c1fe1

00ad4d5a4d07b7fbbe

…..

YARA

ruleincaseformat

{

meta:

description="description"

author="author"

date="01-01-15"

reference="reference"

hash="4b98febfaa9d55e81a"

strings:

$string1="C:\\windows\\ttry.exe"

$string="C:\\windows\\tsay.exe"

$string3="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce"

$timestamp={c45ca}

condition:

uint16(0)==0x5a4dandallofthem

}

推荐阅读：

1、Incaseformat蠕虫病*威胁通告

、CVE-01-：MicrosoftDefender远程代码执行漏洞通告

3、Chrome多个高危漏洞通告

长按下方

1

查看完整版本: INCASEFORMAT蠕虫病毒网络传播

Powered by Discuz!NT Archiver 3.6.711 2001-2024 Comsenz Inc.