一、小白剧场
小白:东哥,前几天我的朋友一直在问我关于如何保持电脑安全的事,可忙死我了。
大东:都问的你什么呀?你朋友是受你的影响而关注安全领域的事件吗?
小白:我可没那么大影响力,只是前几天我一个朋友电脑里很多文件都被删除了,然后咨询了我一下。
大东:哈哈,可以的,这也算是学以致用了,那你是怎么回复的呢?
小白:正好关注到前几天安全圈发生了incaseformat蠕虫事件,所以我怀疑他的电脑中病毒了。
大东:你的判断有道理,那你是怎么帮助你朋友的?
小白:这说来惭愧,我没有特别仔细的看那篇文章,所以我只告诉他安装一个杀毒软件就可以了。
大东:是不是有种书到用时方恨少的感觉?
小白:没错,所以我这不是来请教东哥了嘛。
大东:哈哈,好的,那我们今天就讲讲这个蠕虫病毒。
二、话说事件
小白:这个病毒是在什么时候出现的?又是什么类别呢?
大东:这其实是一个比较古老的蠕虫病毒了,某机构根据此类病毒的传播机理,将其系列变种均统一归入Worm/Win32.Autorun。
小白:这么早的病毒,那为什么现在还会造成危害呢?难道之前的防御机制无法查杀吗?
大东:这倒不是,其实对于此类蠕虫病毒,很多安全软件都可防御查杀。
小白:不对呀,如果能够查杀的话为什么还有会那么多受害者?我听说此类病毒传播速度很快。
大东:其实,此类病毒近期传播感染并没有激增,之所以有人会被攻击其实就是用户的安全意识不高所导致的。
小白:为什么这么说?
大东:因为很多机构和个人用户机器长期处于“裸奔状态”,或者不安装一些防护软件,导致这一蠕虫病毒长期寄存在电脑中。
小白:如果是这样的话,那为什么病毒现在才爆发呢?
大东:因为该蠕虫是带有删除文件的逻辑炸弹,你还记得我们之前讲过逻辑炸弹吗?
小白:记得,上次千年虫病毒就跟这个相关对吧?
大东:没错,小白你的记性不错嘛。
小白:那这次事件是哪里出现逻辑错误了?
大东:其实之所以病毒最近才发作是攻击者的疏忽,病毒制作者预设2010年4月1日为首次发作日期,但是由于传入的函数参数错误,导致这个事件被延迟到了2021年1月13日。
小白:没想到黑客也会犯这种低级的错误呀,这件事警示我们以后写代码的时候一定要谨慎。
大东:哈哈,而且这事件也是对我们很好的警告。
小白:什么警告呀?
大东:大众之所以如此关心这个事是因为该病毒是在近期才发作的,这件事揭露了现在还有很多人安全意识不高。就算安全软件做得再好,但是用户不安装,那还是无济于事。
小白:确实是这样,那这个病毒最早版本是什么时候?如果离现在时间不是特别长的话,也不能完全怪用户吧。
大东:该蠕虫的最早家族版本出现在2009年,而且该家族存在数百个版本的迭代演进,不同版本之间功能也不相同,有些版本的功能为隐藏用户系统盘外的大部分文件,有的版本功能为删除文件。
小白:所以近期发生的这个蠕虫病毒的功能是后者了,那攻击者之前打算什么时候删除文件?
大东:根据对病毒代码的分析,最后确定之所以近期才删除文件是因为时间函数变量值存在编写错误,所以执行删除文件的操作由2010年4月1日被推迟到2021年1月13日,其实攻击者的原意为在2010年3月后每个月的1号、10号、21号、29号后开始执行文件删除操作。
小白:这个病毒是通过什么来传播的?网络吗?
大东:该蠕虫病毒是属于通过U盘来传播的病毒。
小白:我感觉这种通过U盘扩散的病毒很容易传播,而且很可能渗透大一些比较重要的系统中。
大东:也不尽然,如果一些重要的系统布置一些防护软件的话,还是能很容易能感知、拦截病毒的。
小白:没有防护软件的电脑可真是太不安全了,希望安全意识不太强的人赶紧装个防护软件,保护下自己的电脑。
大东:其实现在我们国家非常重视网络安全,群众的安全意识也一定会慢慢提高的。
小白:东哥,那些被病毒删除的文件是不是找不回来了呀?听我同学说,他的被删除文件里还有好多重要的东西呢!!
大东:其实还是有补救的余地的,安全厂商经测试发现该蠕虫病毒删除的文件可由数据恢复软件进行恢复。
小白:太好了,我一会就去告诉我朋友,感觉这个情报值一顿饭,哈哈。
大东:所以说知识就是力量嘛,这件事对于我们这些研究人员也是一次很好的教训,厂商的持续威胁捕获能力,基础引擎检测能力和主防能力是有效端点防御的基石。没有这些基石支撑的产品,甚至无法通过对抗陈旧病毒的试炼。
小白:嗯嗯,东哥,问完我朋友的疑惑,我们来继续研究这个病毒吧。
大东:你还有什么想知道的吗?我想给你看一下病毒样本母体以及衍生文件的信息吧,这样可能你会更容易想问题。
样本母体(图片来自网络)
衍生文件(图片来自网络)
小白:东哥,给你的敬业服务态度打99分,剩下那分不给你是怕你骄傲。
大东:小白,最近有点飘呀。
小白:哈哈,不贫了,开始学习问问题,东哥,这个样本被植入电脑后是如何工作的?
三、大话始末
大东:我们先说样本母体吧,该样本运行后会在C:\windows这个目录下生成tsay.exe可执行文件,并且还会修改注册表键值来实现自启动。
小白:修改注册表还能实现自启动?怎么做到的?
大东:很简单,只需要在这个路径下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce创造注册表键值,名称为msfsa,值为\"C:\windows\tsay.exe\"就可以了。
小白:这么简单的吗?那该病毒还会做什么吗?
大东:没有了,病毒做完上述工作后就直接结束自身进程了。
小白:那衍生文件的运行和样本母体有什么不同呢?
大东:在系统启动后,衍生文件开始运行,文件运行后主要做以下行为:删除非系统磁盘的文件,并创建文件大小为0K,文件名为incaseformat.log的文件。
创建文件incaseformat.log(图片来自网络)
小白:这个文件是在D盘?
大东:没错,不仅如此,病毒还会复制自身到D盘,并将病毒文件名重命名为删除的文件夹名。
小白:复制自己可还行,不过后面这句没怎么听懂。
大东:举个例子,比如D盘存在Program文件夹,则病毒的文件名则会为Program.exe,给你看下删除文件的代码吧。
删除文件操作代码(图片来自网络)
小白:懂了,不愧是举例达人东哥呀。
大东:小白胆子变肥了呀,敢给我起外号了?
小白:哈哈,这个外号是亲昵的外号。不过这代码里怎么没有那个时间函数呢?
大东:DateTimeToTimeStamp函数是在Delphi库中,稍等,我给你找下代码。
样本中错误的函数变量代码(图片来自网络)
小白:那是哪个参数变量写错了?
大东:错误变量的名称为:IMSecsPerDay,黑客写的正常值应为0x5265C00,但是被错误的写为0x5A75CC4。故文件删除操作虽原定于2010年4月1日,但于2021年1月13日才成功执行。
小白:感觉这两个值也不像呀,怎么会写错呢?
大东:这个我就不太清楚了,病毒的原逻辑为:year>2009&&month>3&&(day==1||day==10||day==21||day==29)。
小白:是从2010年开始,每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行恶意操作嘛。
大东:没错,但是由于变量值的错误,计算完以后预计该病毒未来删除文件操作时间如下:
样本实际删除文件时间
小白:感觉变量值错了以后,删除文件的频率更高了,估计黑客也没有想到传错的变量会造成这样的影响吧,这就是无心插柳柳成荫嘛。
大东:小白,文化造诣不错呀,这小诗一句句的。
小白:那当然,才高八斗,学富五车就是在下了。
大东:哈哈,你确定你有那么高吗?
小白:额,东哥,我们应该怎么手动处置这个病毒呢?
大东:你这话题转的有点僵硬哦,其实处置的方法很简单,首先结束下列进程tsay.exe、ttry.exe。
小白:然后呢?注册表也要改吧!!
大东:还没到那一步,接下来我们需要删除下列文件
C:\windows\tsay.exe;C:\Windows\ttry.exe,最后才是删除注册表的值。
小白:是直接删除前面说的注册表路径下的值吗?
大东:不仅删除那个路径下的值,还需要删除该路径HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce下名为“msfsa”的键值。
小白:东哥,有什么好的安全软件推荐吗?我一会去推荐给我朋友。
大东:这个你自己可以去网上搜搜,要是我说出来有打广告的嫌疑。
小白:那可以给点线索吗?
大东:现在已经有防御产品可实现对以上恶意软件的查杀与有效防护,这是测试结果图,我能说的就只有这些了。
测试结果
小白:好的,谢谢东哥!
大东:但是从这个事件也能看出来我们国内安全的不容乐观以及现在安全界存在的问题。
四、小白内心说
小白:为什么这么说?
大东:因为这个蠕虫病毒在很久之前就可以预防了,那为什么安全厂商不能做到在蠕虫病毒发作之前告知用户呢?比如像这次这个事件,如果有安全厂商可以通报用户:最近要有蠕虫病毒发作,如果不安装其安全软件,则磁盘数据就会被清空。这样当蠕虫发作时,安装了其产品的避免了攻击,你想,这个厂商的产品肯定会很受欢迎吧。
小白:确实是这样,不过我感觉这个事件也跟用户安全意识薄弱有关,如果都安装了杀毒软件,那可能就不会有人被该蠕虫病毒攻击了吧。
大东:没错。虽然用户的安全意识需要提高,但安全厂商更应该提升其预警能力,因为厂商是为用户而服务的,产品也应该以用户的安全、便捷为目标。
小白:网络空间的安全不能只靠安全厂商设计出更安全的软件,还需要我们培养安全意识,不然的话,无论有多安全的软件,都会有可能被黑客入侵,所以现在群众的网络安全意识培养是重中之重。
参考资料
1. incaseformat蠕虫病毒大爆发!20s删除用户文件
https://netsecurity.51cto.com/art/202101/640902.htm
2. 警惕incaseformat蠕虫,可大批量删除文件
https://mp.weixin.qq.com/s/-0_pzakBwXiA1iU8X-ykqw
3. 突发!incaseformat蠕虫病毒来袭,警惕文件遭删除https://m.k.sohu.com/d/509675539
4. incaseformat蠕虫病毒爆发 深信服免费提供查杀工具
http://www.techweb.com.cn/ucweb/news/id/2821436
来源:中国科学院信息工程研究所
