(2021年)
日国专网面积爆发新型病毒(incaseformat病毒)计算机感染该病毒系统盘(C盘)外盘均格式化感染细节预防查杀方法尚未明确请二级教学单位处室广师生时做重数备份接入U盘点击明文件计算机终端发现感染应立断网(禁计算机网卡拔掉网线)请勿进行关机重启操作
事件分析
2021年1月13日深信服安全团队收起 incaseformat 蠕虫事件反馈已户感染种名 incaseformat (文件名 ttryexe tsayexe)蠕虫病毒病毒 windows 目录运行时会删 C 盘目录外文件前已影响区域行业户具爆发趋势日绿盟科技应急响应团队接全国客户反馈感染谓incaseformat 病毒涉政府医疗教育等行业感染机财务理相关应系统感染机表现非系统分区文件均删删文件分区根目录均存名 incaseformatlog 空文件网络病毒命名 incaseformat
二 病毒分析
根绿盟科技资料显示搜索引擎结果该病毒早出现时间 2009 年流杀毒软件厂商均病毒命名 WormWin32Autorun名称判断该病毒 Windows 台通移动介质传播蠕虫病毒病毒文件运行首先复制身 Windows 目录(C\windows\tsayexe)文件图标伪装文件夹时修改注册表键值实现启动涉注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa病毒文件机重启运行开始遍历非系统分区目录设置隐藏时创建名病毒文件
外会通修改注册表实现显示隐藏文件隐藏已知文件类型扩展名涉注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
非系统分区文件执行删操作创建 incaseformatlog 文件
已知样MD5:4B982FE1558576B420589FAA9D55E81A1071D6D497A10CEF44DB396C07CCDE65
三 感染分析
根绿盟科技资料显示该病毒编写时某时间判断变量赋值错误导致2021年1月13日触发执行删文件代码逻辑实际该病毒感染机驻留年缺少机防病毒软件白名单设置错误等原直未发现病毒身通 U 盘等移动介质进行传播相关网络传播特征次国行业出现规模感染事件猜测相关应系统供应链厂商运维关:软件分发更新升级远程运维等具体传播途径需做进步溯源分析
四 处置建议
1 排查机 Windows 目录否存图标文件夹 tsayexe 文件存该文件时删删前切勿机执行重启操作
2 数恢复切记删文件分区执行写操作免覆盖原数然常见数恢复软件(:FinaldatarecuvaDiskGenius 等)恢复删数(注意:操作具危险性操作会造成数丢失请谨慎操作请专业员处理)
3 病毒出现年份较早流杀毒软件均该病毒进行查杀户通手工方式进行清理修复:
1)通务理器结束病毒相关进程(ttryexe)
2)删 Windows 目录驻留文件 tsayexe ttryexe 注册表相关启动项(RunOnce)
3)恢复述病毒篡改隐藏文件扩展名相关注册表项
4 优盘移动硬盘等外部存储设备前关闭动播放功外接存储设备先进行扫描
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档