无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

1月13日，金山云應(yīng)急響應(yīng)中心監(jiān)測(cè)到一些網(wǎng)絡(luò)論壇中有用戶遭遇文件被病毒刪除現(xiàn)象，通過(guò)對(duì)相關(guān)事件進(jìn)行分析，發(fā)現(xiàn)該病毒為一古老蠕蟲(chóng)樣本。

該病毒主要通過(guò)U盤(pán)進(jìn)行傳播，在數(shù)年前就已經(jīng)可以被各大殺毒廠商進(jìn)行查殺。

病毒詳情

該病毒家族俗名incaseformat，屬于USB蠕蟲(chóng)家族，實(shí)際上，相關(guān)蠕蟲(chóng)近期傳播感染并未發(fā)生激增。由于部分政企機(jī)構(gòu)和個(gè)人用戶長(zhǎng)期處于裸奔狀態(tài)，或未安裝具有有效能力的安全產(chǎn)品，使這一“古老”蠕蟲(chóng)長(zhǎng)期寄生而未能及時(shí)發(fā)現(xiàn)，而由于該蠕蟲(chóng)帶有刪除文件的邏輯炸彈，作者預(yù)設(shè)2010年4月1日為首次發(fā)作日期，但是由于作者的編碼錯(cuò)誤，導(dǎo)致2021年1月13日成為了首次發(fā)作日期，所以這些感染的用戶因文件被刪除而感知到了這一蠕蟲(chóng)的存在，這是今日該病毒成為焦點(diǎn)的關(guān)鍵原因。

病毒分析

樣本母體運(yùn)行后會(huì)釋放tsay.exe到Windows目錄下（C:\windows\tsay.exe），并且通過(guò)修改注冊(cè)表鍵值以實(shí)現(xiàn)自啟動(dòng)。創(chuàng)建注冊(cè)表鍵值如下，隨后結(jié)束自身進(jìn)程。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

Value: String: "C:\windows\tsay.exe"

系統(tǒng)重新啟動(dòng)后，衍生文件開(kāi)始執(zhí)行，具體行為包括刪除非系統(tǒng)磁盤(pán)的文件，并創(chuàng)建文件大小為0K，文件名為incaseformat.log的文件。

同時(shí)復(fù)制病毒自身到D盤(pán)，并將病毒文件名重命名為刪除的文件夾名。例如：D盤(pán)存在Program Files文件夾，病毒名則為Program Files.exe。

該衍生文件使用了Delphi庫(kù)中的DateTimeToTimeStamp函數(shù)，該函數(shù)中的變量IMSecsPerDay正常應(yīng)為0x5265C00，但是被錯(cuò)誤的寫(xiě)為0x5A75CC4。故文件刪除操作雖原定于2010年4月1日，但于2021年1月13日才成功執(zhí)行。

注：病毒原邏輯為：year>2009&&month>3&&(day==1||day==10||day==21||day==29)

故本應(yīng)從2010年開(kāi)始，每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29號(hào)會(huì)執(zhí)行一次刪除操作。

根據(jù)錯(cuò)誤變量IMSecsPerDay進(jìn)行計(jì)算，預(yù)計(jì)該病毒未來(lái)刪除文件操作時(shí)間如下：

表 2-3 樣本實(shí)際刪除文件時(shí)間

處置建議：

1.結(jié)束下列進(jìn)程

tsay.exe、ttry.exe

2.刪除下列文件

C:\windows\tsay.exe

C:\Windows\ttry.exe

3.刪除下列注冊(cè)表項(xiàng)中的名為“msfsa”的鍵值

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

4.安裝殺毒軟件并進(jìn)行全盤(pán)掃描，安天，騰訊電腦管家，360，火絨等均可查殺該樣本。

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2021/01/14