近日,一种叫做incaseformat蠕虫病毒攻击了众多的主机,涉及政府、医疗、教育、智能制造等多个行业。被感染主机均表现为所有非系统分区文件均被删除,被删除文件分区根目录下存在名为incaseformat.log的空文件,由此网络上将此病毒命名为incaseformat。
六方云超弦攻防实验室对其取样分析后,发现incaseformat属于一个“古董级”蠕虫病毒,通过U盘等方式进行传播,该病毒早在2009年前就已经出现,主流的杀毒软件厂商将其命名为Worm.Win32.Autorun。incaseformat带有删除文件的逻辑炸弹,本来将于2010年4月1日首次发作,但是由于函数参数错误,导致在2021年1月13日才引爆,进入到大众的视野,该病毒通过USB等可移动便携设备传播,没有网络行为,相比于其他利用网络传播的蠕虫病毒,传播能力稍弱。
Incaseformat病毒能够在这么多年潜伏并传播的最主要原因是部分政企机构和个人用户长期处于裸奔状态,对于工控主机的现象尤为普遍,对于部分安装了病毒防护软件的工控机,由于缺乏更专业的技术防御措施,仍然未能逃过被感染的命运。传统的杀毒软件由于工控现场无法联网,病毒样本库得不到有效更新;一般的白名单软件并未对主机进行安全检查,无法保证主机部署的白名单是否真正干净,而机器的长期带毒运行,就像埋下了一颗不定时炸弹,谁都无法预知下次引爆会带来怎样的后果。
母体病毒样本双击运行后,会释放tsay.exe到Windows目录下(C:\windows\tsay.exe),并且通过修改注册表键值以实现自启动。创建注册表键值如下:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsaValue: String: "C:\windows\tsay.exe",然后结束自身进程。
▲图2-2:第一次运行在windows目录下释放文件tsay.exe
▲图2-6:开机自启动后tsay.exe的另一副本ttry.exe
释放的病毒在电脑重启后运行,将除了系统盘(一般为C盘)的其他数据全部删除,给企业用户造成巨大损失,由于病毒中调用了Delphi库中的DateTimeTOTimeStamp函数,将函数中的变量IMsecsPerDay的值设置为错误的0x5Q75CC4,从而使得本应该在2010年4月1日发作的病毒在2021年1月13日才成功运行,造成大量用户数据丢失:
▲图2-7:DateTimeToTimeStamp函数中的错误参数值
总结:对该病毒进行分析后发现,该病毒并没有使用漏洞利用等高深的技术,也没有利用网络传播的能力,仅仅是利用了一个时间判断逻辑来对用户的数据进行删除,传播途径也是使用U盘等便携式移动存储进行传播。该病毒中删除文件的判断逻辑为:year>2009&&month>3&&(day==1||day==10||day==21||day==29)所以从2010年开始,每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行删除操作。HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce经测试,六方云工业卫士能够有效阻止Incaseformat的执行和扩散。
▲图3-1安装六方云工业卫士后Incaseformat程序无法正常执行
六方云工业卫士软件基于“白+黑”防护技术,能够对系统进行全盘扫描并创建名单样本库,然后将该名单样本库与黑名单样本库进行比对,将潜伏在主机内的病毒识别出来并自动剔除,形成真正意义的安全白名单,可有效避免误将病毒、木马等恶意程序加入白名单,为工控主机的安全运行保驾护航。
同时,由于Incaseformat病毒只能通过U盘等移动存储介质进行传播,其不存在网络传播行为,因此,六方云工业卫士软件可通过对USB存储介质和非USB存储设备的严格管控,有效阻断该病毒的感染路径,保障主机环境的安全。
