【风险通告】云上Incaseformat 蠕虫病毒风险通告

释放双眼,带上耳机,听听看~!

自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

风险描述

该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。

简单分析

病毒行为:将自身拷贝至Windows目录下,并通过RunOnce注册表项实现自启动

【风险通告】云上Incaseformat 蠕虫病毒风险通告

通过注册定时器,定时检查系统时间,在预期时间内删除非系统盘的文件,并在根目录生成incaseformat.log文件。由于时间戳转换存在问题,导致最终发作时间推迟至今。

【风险通告】云上Incaseformat 蠕虫病毒风险通告

影响面情况

病毒的传播需要人为通过U盘,U盘使用的AutoRun自启动技术进行复制感染。公有云已无USB的攻击面,不受此病毒影响,针对专有云环境,安全云盾已发布规则对病毒行为进行防御拦截:

【风险通告】云上Incaseformat 蠕虫病毒风险通告

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

预警jackson-databind 反序列化远程代码执行漏洞(CVE-2020-24616等)

2020-10-16 11:36:11

安全漏洞

预警Gitlab 多处高危漏洞

2021-2-26 11:36:11

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索