incaseformat蠕虫病毒样本分析

Incaseformat蠕虫病毒分析与清除指南
最新推荐文章于 2023-02-21 14:40:08 发布
原创 最新推荐文章于 2023-02-21 14:40:08 发布 · 2.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#反病毒 #安全 #网络安全

本文详细分析了2021年1月13日爆发的incaseformat病毒,它属于特洛伊木马,通过U盘传播,能格式化非系统盘并删除数据。病毒有两个变种,危害极大且难以检测。文中提供了识别和清除病毒的步骤,包括使用控制面板卸载程序,检查启动项和修改注册表,但完全删除可能需要专业工具辅助。

@[TOC]incaseformat蠕虫病毒样本分析

前言

2021年1月13日,incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。

安全工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。

根据工程师分析,该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒,最早可追溯至2009年,其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期(愚人节)来看,不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种,最早可追溯至2014年,并被设置在2021年1月13日爆发。

病毒格式

incaseformat是基于木马的应用程序,可以接管目标计算机并破坏存储在其上的所有软件和数据。作为典型的特洛伊木马,Incaseformat可能还会窃取个人信息或在受感染的计算机内注入外部恶意软件,例如勒索软件或间谍软件。
Incaseformat病毒
正如我们所说,该病毒属于特洛伊木马,因此应该通过多种伪装的网络内容秘密传播。在大多数情况下,Incaseformat的受害者并不知道他们在计算机中释放的是危险的特洛伊木马病毒。此外,通常没有明显的感染迹象,至少直到恶意软件完成其恶意程序后才可见。因此,受害者通常在相当长的一段时间内都不知道对其设备的攻击。

许多人认为拥有最新的防病毒应用程序是保护计算机免受恶意软件攻击的全部所需。但是,情况并非总是如此,尤其是对于新发布的威胁(例如Incaseformat)。

确实,有高质量的防病毒程序可以很好地检测和清

最低0.47元/天 解锁文章
incaseformat样本赏析
yellow的博客
01-17 1415
incaseformat样本详细分析
incaformat蠕虫病毒样本分析及查杀防范措施
世间繁华梦一出
01-14 4060
2021incaseformat蠕虫病毒一、病毒简介二、样本分析三、查杀与恢复方式四、预防措施 一、病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows 操作系统 危害等级:紧急 病毒影响:删除除系统盘外的所有文件 二、样本分析 1.样本信息 md5:4b982fe1558576b420589faa9d55e81a sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c sha256:ff84e79cae99f5714f363588b
读懂Incaseformat病毒的庐山真面目!
程序IT圈
02-01 668
读懂Incaseformat病毒这个病毒的庐山真面目。其实就是个tsay.exe,用delphi语言开发的程序,不过它将应用程序伪装成文件夹的一样的效果,这就是给大家挖了个大坑,大家一般...
Incaseformat蠕虫病毒分析
weixin_45484297的博客
03-29 2031
Incaseformat蠕虫病毒分析 01背景 1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。 该病毒最早可以追溯到2009年,该病毒会在2010年4月1日(愚人节)触发删除文件逻辑;而此次爆发的病毒是经过篡改得到的变种,最早可以追溯到2014年。而实际上火绒、360等主流安全防护软件均能查杀这两个变种病毒,中毒用户多是未安装防护软件或是对该病毒添加了信任。 02样本概况 样本名称:tsay.exe 、ttry.exe 严重程度:高危 行为签名:设置注册表实现自
安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!
爱国小白帽
01-14 1800
通告编号:NS-2021-0002 2021-01-13 TAG: incaseformat、Worm.Win32.Autorun、数据删除、数据恢复 病毒危害: *此病毒会删除所有非系统分区的文件。* 版本: **1.0 ** 1 事件背景 2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录
rmnet蠕虫病毒样本分析
挖树
10-14 2577
rmnet蠕虫病毒样本分析 目录 文章目录目录0x00基本信息0x01 概述0x02流程图0x03 技术细节详细分析第一层壳解密出PE文件第二层壳检查环境准备注入iexplore.exe注入Iexplore.exe恶意六线程线程1: 7ACA 自启动线程2: 7626 测试网络连通性线程3: 781F 记录连通时差线程4: 790C 发送本机信息接收返回指令线程5: 6EA8...
incaseformat蠕虫病毒昨日“发作“,23日可能还会发作
明哥哥知识分享
01-14 796
一. 事件背景 近日,微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染,受害者机器中除了系统盘以外,其 他文件全部被删除。 incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件, 并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所 以直到2021年1月13日才被触发。 二. 威胁分析 incaseformat蠕虫病毒运行后,会首先判断是否在系统盘
incaseformat蠕虫病毒
Vdieoo的博客
01-14 4076
国内多个区域行业出现且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。 ...
【天磊卫士安全预警】incaseformat蠕虫病毒预警
Uguardsec的博客
01-14 691
安全预警 天磊卫士安全团队监测到incaseformat蠕虫病毒有重新泛滥的迹象,希望大家引起重视,以免中招。 病毒详情 首先incaseformat病毒是通过全盘镜像来起作用的,有一个负责在文件夹内生成这一病毒的进程,incaseformat.txt就是一个镜像文件。这种病毒有一个统一的名字:文件夹图标病毒。 这个病毒属于木马和蠕虫两类病毒的结合体。木马只是复制自己,并且用所在文件夹的名字给自己命名,然后把自己复制满你的文件夹,保证每个文件夹下都有木马。蠕虫会感染你的exe文件,也就是可执行程序,然后让你
incaseformat 病毒分析
玄道的网安博客
01-15 1131
近日,大量用户文件被删除,源于一个叫做incaseformat病毒,此病毒的主要传播方式是将自身伪装成文件目录,当用户双击时实际上是启动了病毒文件。病毒文件会隐匿在受害者主机中潜伏着,等待指定的时机对用户文件进行删除。实际上此病毒可能在2009年以前就已经存在,但由于编写者所使用的delphi库计算时间的函数有错误,导致近期才发作。此病毒可能已经伴随着受感染者很长一段时间。 此病毒运行后会将自身复制到以下路径 C:\\windows\\tsay.exe C:\\windows\\ttry.e.
计算机蠕虫病毒分析研究
05-25
本文是一篇针对网络蠕虫传播的论文,主要对网络蠕虫的各种扫描策略、传播机制进行了较深入的研究与探讨
WannaCry、CTB-Locker、Cerber样本
03-02
资源中是WannaCry、CTB-Locker、Cerber样本,解压后将后缀名改为exe即可运行,一定要在虚拟机中运行,且虚拟机一定要与宿主机隔离、必须断网,否则会造成不可逆转的损失。 若在使用本资源时造成损失,本人概不负责; 若在使用本资源时造成损失,本人概不负责; 若在使用本资源时造成损失,本人概不负责。
incaseformat蠕虫病毒的预防措施及应对措施
qq_42934452的博客
01-14 2609
2021年才开始的第一个月,病毒感染事件再起。昨天开始,很多用户开机后发现多数电脑除C盘外,全部格式化了,所有文件夹都被隐藏,只留下一个incaseformat.txt文件。这是incaseformat病毒在“卷土重来”,并且有大面积爆发迹象! 一、incaseformat病毒 蠕虫病毒:是常见的计算机病毒中的一种,主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具(U盘等)途径传播,通常隐藏在普通的文件中,比如DOC、PPT、JPG等。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会
incaseformat 蠕虫病毒,当心文件被删除
weixin_52834323的博客
02-21 157
原本定于 2010 年4 月1 日的文件删除操作直到2021年1 月13 日才被触发,预计下次删除文件操作时间为2021 年1 月23 日和2021 年2 月4 日。2021年01月,incaseformat 蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。备份的最佳做法是采取3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。其会创建一个隐藏的窗口执行,具有4 个定时器。
Wannacry勒索病毒样本分析
热门推荐
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告
weixin_34357887的博客
08-23 347
“魔波(worm.mocbot.a)”蠕虫病毒分析报告 ,最近很流行的一种病毒杀伤力相当大,有点想以前的冲击波~!“魔波(worm.mocbot.a)”蠕虫病毒分析报告 病毒名称:魔波(worm.mocbot.a)      魔波变种b(worm.mocbot.b) 文件类型:pe 驻留内存:是 文件大小:9,313 bytes md5: 2bf2a4...
incaseformat样本详细分析(附样本下载)
Just for funnnnnnnnnnnn
01-16 5239
incaseformat样本详细分析 注:本文首发于我的博客:http://www.hupeiwei.com incaseformat病毒近日爆发,影响了不少主机。这么一个古老的病毒能够造成这么大的影响,令人感到意外。我从微步在线上下载了样本进行分析。需要注意的是,incaseformat有两个在野版本,详见https://www.52pojie.cn/thread-1351233-1-1.html。我分析的应该是原始版本,但是两个版本除了Sysutils::DateTimeToTimeStamp库函数所使
Morto蠕虫病毒分析报告
信息安全
10-31 5116
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb 病毒现场复现 因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload 首先将md.reg...
学习笔记-Ramnit 蠕虫分析
a2a_66666的博客
02-20 843
0x00前言 Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。 分析工具:PEID、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name DesktopLayer.exe File Si...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值