自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
风险描述
该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。
简单分析
病毒行为:将自身拷贝至Windows目录下,并通过RunOnce注册表项实现自启动
通过注册定时器,定时检查系统时间,在预期时间内删除非系统盘的文件,并在根目录生成incaseformat.log文件。由于时间戳转换存在问题,导致最终发作时间推迟至今。
影响面情况
病毒的传播需要人为通过U盘,U盘使用的AutoRun自启动技术进行复制感染。公有云已无USB的攻击面,不受此病毒影响,针对专有云环境,阿里云云盾已发布规则对病毒行为进行防御拦截: