1 威胁概述
2021年1月13日,江民赤豹网络安全实验室接到24848威尼斯的合作伙伴反馈网络上发现一款会删除磁盘文件的病毒。该病毒执行后会创建自身副本到系统盘windows目录下,并创建注册表设置自启动,用户重启机器后,病毒自启动进程将会遍历除系统盘外的所有磁盘,并对文件进行删除。经过排查发现,江民各版本杀毒软件均可对该病毒进行查杀,目前暂未发现江民客户受该病毒影响。
病毒名:worm/autorun.hwk(业界称为“incaseformat”病毒),早在2009年4月9日,江民病毒监测网就捕获了该样本,本次研究发现近期有大范围爆发趋势。
2 代码分析
江民最早于2009年4月9日捕获该病毒,该病毒为32位pe文件,为delphi语言编写,通过u盘传播。
该病毒的图标跟windows xp默认的文件夹图标是一样的,很具有迷惑性。病毒运行后首先复制自身到c:\windows\tsay.exe。
然后创建注册表值,将自身副本程序设置为开机自启:
注册表:
hkey_local_machine\software\microsoft\windows\currentversion\runonce\msfsa
值: c:\windows\tsay.exe。
c:\windows\tsay.exe文件会在重启后运行,将自身拷贝到c:\windows\ttry.exe。然后在非系统盘符下,创建与文件夹同名的可执行文件。接着设置以下注册表,来隐藏文件:
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\hidefileext 0x00000001
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\hidden 0x00000002
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checkedvalue 0x00000000
根据时间来判断,执行伪装文件的操作,还是执行删除文件的操作。由于时间换算的错误,导致该病毒潜藏到2021年1月13日才爆发,并且错误的执行了删除文件的操作。
图 根据时间判断执行操作
最后删除非系统分区下所有文件,在每个盘符下都产生一个大小为0kb、文件名为incaseformat的文本文档。
总结:该病毒原版是伪装成文件夹,隐藏原文件夹,以此来隐藏自身、通过u盘传播。由于时间戳判断错误,不再进行隐藏,而是执行删除操作。
3 危害级别
该病毒会恶意删除用户磁盘文件,对用户的计算机数据造成极大威胁。
4 处理方案
1、 结束进程c:\windows\ttry.exe
2、 删除文件c:\windows\tsay.exe、c:\windows\ttry.exe
3、 还原注册表,并将文件隐藏关闭。hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\hidefileext
hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced\hidden
hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall\checked
4、 使用分区工具进行文件还原。
江民各版本杀软均可对该病毒进行查杀和防护。
图1 江民网络版v19查杀截图
图2 江民网络版v16查杀截图
图3 江民速智版查杀截图
关于江民
江民科技将始终致力于打造——集网络安全产品、基础工具的生产研发、销售、咨询、服务于一体的安全生态体系,全面保障国家党、政、军关键网络基础设施的安全稳定运行,为国家信息安全事业的发展提供有力支撑。
扫码关注更多精彩
前往“发现”-“看一看”浏览“朋友在看”