企業(yè)空間 > 新聞 > 正文

Incaseformat病毒來襲？中控技術(shù)supCERT教你如何應(yīng)對！
發(fā)布時間：2021/3/5 14:51:30 修改時間：2021/3/5 14:51:30 瀏覽次數(shù)：3136

　　2021年1月13日，一種名為incaseformat的蠕蟲病毒在全國各地爆發(fā)，浙江中控技術(shù)股份有限公司工控網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心supCERT也接到客戶反映磁盤文件被清空，疑似中了該病毒，并有多個客戶咨詢中控技術(shù)的安全防護產(chǎn)品能否防御此次爆發(fā)的病毒，supCERT安全工程師得到樣本后第一時間對病毒進行分析。

　　一病毒機理分析

　　樣本文件名: tsay.exe/ttry.exe

　　文件大小: 496640 字節(jié)

　　MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E

　　SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA

　　CRC32: AFE5FF81

　　圖1 病毒詳情

　　圖2 病毒文件

　　該病毒使用delphi編寫，病毒會偽裝為文件夾圖標(biāo)，感染病毒后，病毒會將自身復(fù)制到C:\Windows目錄下，并創(chuàng)建注冊表自啟動項

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　圖3 自身復(fù)制

　　圖4 寫注冊表自啟動

　　當(dāng)病毒在C:\Windows目錄下運行時，會修改注冊表禁用顯示隱藏文件，并判斷系統(tǒng)時間，滿足條件時遍歷磁盤，刪除除C盤外的所有文件，并在根目錄留下incaseformat.log文件。

　　圖5 修改注冊表

　　圖6 刪除文件生成incaseformat.log

　　值得注意的是作為一個老病毒，因為使用了delphi庫中的DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯誤，最終導(dǎo)致 DecodeDate 計算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時間錯誤，直到2021年1月13日才觸發(fā)了刪除文件的代碼邏輯，導(dǎo)致大規(guī)模爆發(fā)。該病毒設(shè)定的刪除日期不止1月13日，距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒，將面臨再次被刪除的風(fēng)險。

　　解決方案

　　經(jīng)supCERT驗證，該病毒不具備網(wǎng)絡(luò)傳播的功能，主要是通過USB等設(shè)備傳播且只有在C:\Windows目錄下運行時才會執(zhí)行刪除文件等惡意操作，而重啟電腦則是導(dǎo)致其執(zhí)行惡意操作的主要途徑。

　　若發(fā)現(xiàn) C:\Windows目錄下存在名為tsay.exe/ttry.exe的病毒文件，可以直接刪除病毒文件，在刪除之前請不要重啟電腦。然后排查注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce是否存在病毒的自啟動項。

　　經(jīng)驗證，在安裝了中控技術(shù)主機安全衛(wèi)士VxDefender的電腦上開啟白名單防護功能，并確認(rèn)白名單列表中未包含tsay.exe和ttry.exe文件，則無論重啟或是直接雙擊運行C:\Windows目錄下的病毒文件，都可以成功攔截incaseformat病毒。

　　圖7 主機安全衛(wèi)士主界面

　　圖8 程序白名單攔截提示

　　圖9 程序白名單攔截提示

　　圖10 程序白名單攔截日志

　　中控技術(shù)主機安全衛(wèi)士專業(yè)版VxDefender Pro已內(nèi)置黑名單殺毒引擎，可使用病毒查殺功能成功查殺隔離該病毒，有效地保證工業(yè)主機的安全穩(wěn)定運行。

　　圖11 主機安全衛(wèi)士專業(yè)版病毒查殺功能

　　安全建議

　　1. 不要下載或點擊未知來源的文件

　　2. 嚴(yán)格規(guī)范U盤等移動存儲設(shè)備的使用

　　3. 安裝殺毒軟件，定期進行掃描殺毒

　　4. 安裝主機安全防護產(chǎn)品

企業(yè)介紹

扎根行業(yè)厚土，引領(lǐng)工業(yè)智能。中控技術(shù)股份有限公司(簡稱“中控技術(shù)”，股票代碼：688777.SH，SUPCON.SW)成立于1999年，秉持“讓工業(yè)更智能，讓客戶更成功”的使命及“成為工業(yè)AI全球領(lǐng)先企業(yè)，用AI推動工業(yè)可持續(xù)發(fā)展”的美好愿景，持續(xù)推動AI技術(shù)的… 更多>>

產(chǎn)品分類

聯(lián)系方式

中控技術(shù)股份有限公司

聯(lián)系人：中控技術(shù)

地址：杭州市濱江區(qū)六和路309號中控科技園

郵編：310053

電話：0571-88851888（總機轉(zhuǎn)）

傳真：0571-86667555

公司網(wǎng)址：http://www.supcontech.com

該空間手機版

掃描此二維碼即可訪問該空間手機版

在線反饋

1.我有以下需求：
得到貴公司產(chǎn)品詳細資料得到貴公司產(chǎn)品的價格信息貴公司產(chǎn)品銷售人員聯(lián)系我貴公司技術(shù)支持人員聯(lián)系我
2.詳細的需求：
*
姓名:	*
單位:
電話:	*
郵件:	*

您還沒有登錄,請登陸, 如果您還沒有注冊,點擊這里注冊.

網(wǎng)友反饋

蘇志成 在2025/5/30 9:46:00留言
留言類型：貴公司產(chǎn)品銷售人員聯(lián)系我,
詳細留言：詢價G5pro模塊

呂在2025/5/29 10:41:00留言
留言類型：我讓貴公司產(chǎn)品銷售人員聯(lián)系我,
詳細留言：詢價G5pro模塊

成東彥 在2025/5/11 11:04:00留言
留言類型：貴公司產(chǎn)品銷售人員聯(lián)系我,
詳細留言：詢價過程校驗儀

王家梁 在2025/4/23 9:52:00留言
留言類型：貴公司產(chǎn)品銷售人員聯(lián)系我,貴公司技術(shù)支持人員聯(lián)系我,
詳細留言：我公司需要dcs系統(tǒng)整體更新

陳女士 在2025/4/3 9:14:00留言
留言類型：我讓貴公司產(chǎn)品銷售人員聯(lián)系我,
詳細留言：產(chǎn)品采購

更多請進入空間管理中心查看