為何incaseformat病毒今日集中爆發(fā)，下次爆發(fā)時(shí)間為？

作者：深信服千里目安全實(shí)驗(yàn)室 2021-01-15 10:00:19

經(jīng)調(diào)查，該蠕蟲正常情況下表現(xiàn)為文件夾蠕蟲，集中爆發(fā)是由于病毒代碼中內(nèi)置了部分特殊日期。

近日，深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一種名為incaseformat病毒，全國各個(gè)區(qū)域都出現(xiàn)了被incaseformat病毒刪除文件的用戶。經(jīng)調(diào)查，該蠕蟲正常情況下表現(xiàn)為文件夾蠕蟲，集中爆發(fā)是由于病毒代碼中內(nèi)置了部分特殊日期，在匹配到對(duì)應(yīng)日期后會(huì)觸發(fā)蠕蟲的刪除文件功能，爆發(fā)該蠕蟲事件的用戶感染時(shí)間應(yīng)該早于1月13號(hào)，根據(jù)分析推測(cè)，下次觸發(fā)刪除文件行為的時(shí)間約為2021年1月23日和2月4日。

該蠕蟲病毒運(yùn)行后會(huì)檢測(cè)自身執(zhí)行路徑，如在windows目錄下則會(huì)將其他磁盤的文件進(jìn)行遍歷刪除，并留下一個(gè)名為incaseformat.log的空文件：

如當(dāng)前執(zhí)行路徑不在windows目錄，則自復(fù)制在系統(tǒng)盤的windows目錄下，并創(chuàng)建RunOnce注冊(cè)表值設(shè)置開機(jī)自啟：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

情況看似簡單，但令人不解的是，該蠕蟲是通過什么方式進(jìn)行傳播的呢?又為何會(huì)集中爆發(fā)?

經(jīng)過安全專家對(duì)病毒文件和威脅情報(bào)的詳細(xì)分析，有了新的發(fā)現(xiàn)。該蠕蟲病毒由Delphi語言編寫，最早出現(xiàn)于2009年，此后每年都有用戶在網(wǎng)絡(luò)上發(fā)帖求助該病毒的解決方案解決方案：

正常情況下，該病毒表現(xiàn)為一種文件夾蠕蟲，和其他文件夾蠕蟲病毒一樣，通過文件共享或移動(dòng)設(shè)備進(jìn)行傳播，并會(huì)在共享目錄或移動(dòng)設(shè)備路徑下將正常的文件夾隱藏，自己則偽裝成文件夾的樣子。

然而，與其他文件夾蠕蟲不同的是，incaseformat蠕蟲病毒在代碼中內(nèi)置了一個(gè)“定時(shí)條件”，蠕蟲會(huì)獲取受感染主機(jī)的當(dāng)前時(shí)間，然后通過EncodeDate和EncodeTime函數(shù)進(jìn)行聚合：

獲取到時(shí)間后，程序與指定的時(shí)間進(jìn)行了比對(duì)，觸發(fā)文件刪除的條件為：

年份>2009，月份>3，日期=1 或 日期=10 或 日期=21 或 日期=29

自2009年起，每年4月后的1號(hào)、10號(hào)、21號(hào)和29號(hào)會(huì)觸發(fā)刪除文件操作：

然后通過DecodeDate函數(shù)拆分日期，奇妙的是，該程序中的Delphi庫可能出現(xiàn)了錯(cuò)誤，導(dǎo)致轉(zhuǎn)換后的時(shí)間與真實(shí)的主機(jī)時(shí)間并不相符，因此真實(shí)觸發(fā)時(shí)間與程序設(shè)定條件不相同(原本2010年4月1日愚人節(jié)啟動(dòng)時(shí)間，錯(cuò)誤轉(zhuǎn)換成為2021年1月13日)：