Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17683 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
incaseformat来袭,针对病毒进行分析
本文来自公众号:ChaMd5安全团队   2021.01.14 01:52:33


前言

2021年1月13日,蠕虫病毒incaseformat大范围爆发,该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。
笔者在样本分析小组里得到一个样本,对病毒进行分析。笔者能力有限,如有分析不足之处,还请评论指出。


单步调试

调试总是退出,最后跟踪到这个函数内,发现了这两个字符串:

其中有个是注册表项,网上搜索是开机自启动的,进入IDA查看这个地址对应的行为。
注册表项:

SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\
msfsa:C:\\windows\\tsay.exe


是注册了这个项,在这里向上面翻找,发现了这个:

即判断文件是否存在,如果不存在就拷贝过去再注册开机自启动,否则直接注册开机自启动。 继续调试, 接下来会判断正在运行的程序和目标地址的程序是否是同一个,如果是则继续,否则退出。
如果是同一个就将自己复制一份,路径为 C:\\Windows\\ttry.exe


病毒释放过程为:
  1. 把自己复制到 C:\Windows\tsay.exe ,并注册开机自动启动

  2. tsay.exe依靠开机自启,tsay.exe复制一份副本 C:\Windows\ttry.exe ,并且执行

  3. ttry.exe执行主逻辑

三个过程中都会通过判断自己的路径来决定执行什么动作,第一步判断目标文件是否存在以决定是复制还是执行文件。

病毒行为

发现病毒会清除除系统盘之外的其它磁盘,所以在delphi删除文件的API下断点,果然断下了。

跟踪到了sub_44EC70,这个函数的功能就是删除某个磁盘下的所有文件。
  1. 通过前缀路径*.*匹配所有文件名,循环删除

  2. 遇到文件夹则递归删除

通过交叉引用找到TForm1_Timer2Time
  1. 获取时间,如果年份大于0x7d9(2009),月份大于3,日期为1,10,21,29,就执行下面的动作

  2. 这里由于delphi库函数的一个常数错误,导致时间换算错误,于是在13日爆发

  1. 获取磁盘列表,位于sub_44E5C8

  2. 调用sub_44EC70删除磁盘上的文件

  3. 从调用顺序看出,磁盘列表第0位为系统盘

函数sub_44E5C8
  1. 从C开始,一直穷举到Z。DelphiAPI DiskSize判断磁盘是否存在,通过GetDriveTypeA判断磁盘类型。

  2. 对于DRIVE_REMOVABLE类型和DRIVE_FIXED类型都执行一个动作。


其它相关行为

从函数命名和函数功能可以看出,这个函数是通过定时器被调用的。 通过交叉引用找到了这几个函数:

可以看到,除用于删除文件的Timer2外,还有三个定时器,经过分析,确定以下功能:
  • Timer3: 写入注册表项,隐藏文件扩展名,隐藏系统文件

  • Timer4: 创建incaseformat.log文件

另外调试过程中发现: 在Timer2执行时,会把文件夹先删除,再把自己以文件夹名.exe复制过去,再删除。

检测&清除措施

  1. 检查任务管理器,查看是否有ttry.exe进程

如果有,就结束掉进程。
  1. 文件夹选项勾选显示扩展名,显示隐藏的文件、文件夹或驱动器。

  1. 查看C:\Windows目录下,是否有tsay.exe和ttry.exe,如果有就删除。

  1. Win+R执行regedit打开注册表,查看是否有 HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
    下是否有 msfsa 键的项,如果有就删除。

  1. 删除各驱动器下的incaseformat.log


防护措施

开启杀毒软件,非必要情况请勿关闭杀软。


end


招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系 admin@chamd5.org