日韩午夜精品一区|久久久久久久久九|9999久久精品|亚洲视频在线伊人|区区区区区区亚洲|婷婷五日丁香在线|欧美理伦一区二区|日韩精品九区AV|超碰人人操东京热|亚洲AV第六五区

1月13日，金山云應(yīng)急響應(yīng)中心監(jiān)測到一些網(wǎng)絡(luò)論壇中有用戶遭遇文件被病毒刪除現(xiàn)象，通過對相關(guān)事件進行分析，發(fā)現(xiàn)該病毒為一古老蠕蟲樣本。

該病毒主要通過U盤進行傳播，在數(shù)年前就已經(jīng)可以被各大殺毒廠商進行查殺。

病毒詳情

該病毒家族俗名incaseformat，屬于USB蠕蟲家族，實際上，相關(guān)蠕蟲近期傳播感染并未發(fā)生激增。由于部分政企機構(gòu)和個人用戶長期處于裸奔狀態(tài)，或未安裝具有有效能力的安全產(chǎn)品，使這一“古老”蠕蟲長期寄生而未能及時發(fā)現(xiàn)，而由于該蠕蟲帶有刪除文件的邏輯炸彈，作者預(yù)設(shè)2010年4月1日為首次發(fā)作日期，但是由于作者的編碼錯誤，導(dǎo)致2021年1月13日成為了首次發(fā)作日期，所以這些感染的用戶因文件被刪除而感知到了這一蠕蟲的存在，這是今日該病毒成為焦點的關(guān)鍵原因。

病毒分析

樣本母體運行后會釋放tsay.exe到Windows目錄下（C:\windows\tsay.exe），并且通過修改注冊表鍵值以實現(xiàn)自啟動。創(chuàng)建注冊表鍵值如下，隨后結(jié)束自身進程。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

Value: String: "C:\windows\tsay.exe"

系統(tǒng)重新啟動后，衍生文件開始執(zhí)行，具體行為包括刪除非系統(tǒng)磁盤的文件，并創(chuàng)建文件大小為0K，文件名為incaseformat.log的文件。

同時復(fù)制病毒自身到D盤，并將病毒文件名重命名為刪除的文件夾名。例如：D盤存在Program Files文件夾，病毒名則為Program Files.exe。

該衍生文件使用了Delphi庫中的DateTimeToTimeStamp函數(shù)，該函數(shù)中的變量IMSecsPerDay正常應(yīng)為0x5265C00，但是被錯誤的寫為0x5A75CC4。故文件刪除操作雖原定于2010年4月1日，但于2021年1月13日才成功執(zhí)行。

注：病毒原邏輯為：year>2009&&month>3&&(day==1||day==10||day==21||day==29)

故本應(yīng)從2010年開始，每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29號會執(zhí)行一次刪除操作。

根據(jù)錯誤變量IMSecsPerDay進行計算，預(yù)計該病毒未來刪除文件操作時間如下：

表 2-3 樣本實際刪除文件時間

處置建議：

1.結(jié)束下列進程

tsay.exe、ttry.exe

2.刪除下列文件

C:\windows\tsay.exe

C:\Windows\ttry.exe

3.刪除下列注冊表項中的名為“msfsa”的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

4.安裝殺毒軟件并進行全盤掃描，安天，騰訊電腦管家，360，火絨等均可查殺該樣本。

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021/01/14