2021年1月13日,安天关注到一些网络论坛中有用户遭遇文件被病毒删除现象,联系提取样本后,发现系很早可以查杀的“古老”蠕虫家族,但鉴于行业和公众对此事件较为关注,安天提供如下分析:
该病毒家族俗名incaseformat,是一个较为古老的USB蠕虫家族,安天根据这一类病毒的传播机理,将其系列变种均统一归入Worm/Win32.Autorun。对相关蠕虫家族,安天产品数年前即可防御查杀。
实际情况是,相关蠕虫近期传播感染并未发生激增。由于部分政企机构和个人用户长期处于裸奔状态,或未安装具有有效能力的安全产品,使这一“古老”蠕虫长期寄生而未能及时发现,而由于该蠕虫带有删除文件的逻辑**,作者预设2010年4月1日为首次发作日期,但是由于函数参数错误,导致2021年1月13日成为了首次发作日期,所以这些感染的用户因文件被删除而感知到了这一蠕虫的存在。这是今日该病毒成为焦点的关键原因。
安天感知体系捕获该蠕虫的最早家族版本为2009年,该家族存在数百个版本的迭代演进,其中有的版本功能为隐藏用户系统盘外的大部分文件。本次发现的蠕虫病毒版本之所以会在2021年1月13日开始删除文件,是由于时间函数变量值存在编写错误,执行删除文件的操作由2010年4月1日延至2021年1月13日,攻击者原意为在2010年3月后每个月的1号、10号、21号、29号后开始文件删除操作。这种主要通过U盘进行传播的病毒,在缺少有效安全防护软件的政企机构网络中往往反复传播感染。而通过部署有效端点防护能力的主防产品可以很容易感知和拦截。对于遭遇病毒已经发作的情况,安天也提醒用户还有补救的余地,安天CERT经测试发现该蠕虫病毒删除的文件可由数据恢复软件进行恢复。
厂商的持续威胁捕获能力,基础引擎检测能力和主防能力是有效端点防御的基石。没有这些基石的支撑的产品,甚至无法通过对抗陈旧病毒的试炼。
表 2‑1 样本母体
表 2‑2 衍生文件
样本母体运行后会释放tsay.exe到Windows目录下(C:\windows\tsay.exe),并且通过修改注册表键值以实现自启动。创建注册表键值如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
Value: String: "C:\windows\tsay.exe"
随后结束自身进程。
系统重新启动后,衍生文件开始执行,具体行为包括删除非系统磁盘的文件,并创建文件大小为0K,文件名为incaseformat.log的文件。
图 2‑1 创建文件incaseformat.log
同时复制病毒自身到D盘,并将病毒文件名重命名为删除的文件夹名。例如:D盘存在Program Files文件夹,病毒名则为Program Files.exe。
图 2-2 删除文件操作
该衍生文件使用了Delphi库中的DateTimeToTimeStamp函数,该函数中的变量IMSecsPerDay正常应为0x5265C00,但是被错误的写为0x5A75C**。故文件删除操作虽原定于2010年4月1日,但于2021年1月13日才成功执行。
图 2-3 样本中错误的函数变量
注:病毒原逻辑为:year>2009&&month>3&&(day==1||day==10||day==21||day==29)
故本应从2010年开始,每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行一次删除操作。
根据错误变量IMSecsPerDay进行计算,预计该病毒未来删除文件操作时间如下:
表 2‑3 样本实际删除文件时间
1. 结束下列进程
tsay.exe、ttry.exe
2. 删除下列文件
C:\windows\tsay.exe
C:\Windows\ttry.exe
3. 删除下列注册表项中的名为“msfsa”的键值
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
本文作者:AntiyLab
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/151531.html
必填 您当前尚未登录。 登录? 注册
必填(保密)