【风险通告】云上Incaseformat 蠕虫病毒风险通告

自2021年1月13日上午开始一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

风险描述

该病毒是个2007年的老病毒。因为该病毒所使用的delphi库中的 DateTimeToTii V SmeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出? 9 3 % T ,的系统当前时间错误。也因为上述原因,该样本作为一个老病毒x _ Y c 6 q L o x,直到2021年1月13日才触发删除用户文件的代码逻辑,下一个触发时间是2021年1月23日。

简单分析

病毒行为:将自身拷贝至Windows目录下,并通过RunOnce注册表项实现自启动

【风险通告】云上Incaseformat 蠕虫病毒风险通告

g 7 J - T U 过注册定时器,定时检查系统时间,在预期时间内删除非系统盘的文件,并在根目录生成incasx Z Z , Y E l a yeformat.log文件。由于时间戳转换存在问题,导致最终发作时间推迟至今。

【风险通告】云上Incaseformat 蠕虫病毒风险通告

影响面情况

病毒的传播需要人为通过U盘,U盘使用的AutoRun自启动技术进行复制感染。公有云已无USB的攻击面,不受此病毒影响,针对专有云环境,阿里云云盾v t j a O发布规则对病毒行为进行防御拦截:

【风险通告】云上Incaseformat 蠕虫病毒风险通告