国内部分地区出现 incaseformat 蠕虫病毒, 可破坏删除受感染主机系统盘以外的其他所有文件。据分析,样本在非 windows 目录下运行, 会拷贝副本至 C:\windows\ttry.exe、 C:\windows\tsay.exe, 并创建 RunOnce 注册表值设置开机自启。
注册表路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
或 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
注册表值:C:\windows\tsay.exe
因此,猜想是否可以用网页读取注册表进行检测?
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML>
<HEAD>
<TITLE> 蠕虫检查:Incaseformat </TITLE>
<META NAME="Author" CONTENT="nemon">
<META NAME="Keywords" CONTENT="worm,Incaseformat">
<META NAME="Description" CONTENT="蠕虫检查:Incaseformat">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</HEAD>
<script language="javascript">
function readKeyFromReg(obj_sh,key){
try{
var v = obj_sh.RegRead(key);
return v;
}catch(e){
return "";
}
}
function checkWormIncaseformat(){
var obj = new ActiveXObject("WScript.Shell");
var s1="HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\msfsa";
var s2="HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\msfsa";
var sNic1 = readKeyFromReg(obj,s1);
var sNic2 = readKeyFromReg(obj,s2);
if(sNic1.toLowerCase()!="" || sNic2.toLowerCase()!="" ){
alert("发现Incaseformat痕迹,请不要进行任何操作,马上联系信息安全人员处理!");
}else{
alert("未发现Incaseformat痕迹,请继续关注!");
}
}
</script>
<BODY>
<input type="button" value="立即点击检查" onclick="checkWormIncaseformat();"/>
<p>
如果网页提示Activx控件交互不安全,请允许交互:选“是”。<br/>
注意:本工具基于已知样本Incaseformat修改注册表的行为制作,如果无此行为(比如变种等)将无法查出。
</p>
</BODY>
</HTML>