incaseformat蠕虫病毒样本分析

最新推荐文章于 2023-02-21 14:40:08 发布
最新推荐文章于 2023-02-21 14:40:08 发布
阅读量1.9k 收藏 5
点赞数 2
分类专栏: 病毒分析 文章标签: 反病毒 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45751363/article/details/112646800
版权

@[TOC]incaseformat蠕虫病毒样本分析

前言

2021年1月13日,incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。

安全工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。

根据工程师分析,该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒,最早可追溯至2009年,其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期(愚人节)来看,不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种,最早可追溯至2014年,并被设置在2021年1月13日爆发。

病毒格式

incaseformat是基于木马的应用程序,可以接管目标计算机并破坏存储在其上的所有软件和数据。作为典型的特洛伊木马,Incaseformat可能还会窃取个人信息或在受感染的计算机内注入外部恶意软件,例如勒索软件或间谍软件。
Incaseformat病毒
正如我们所说,该病毒属于特洛伊木马,因此应该通过多种伪装的网络内容秘密传播。在大多数情况下,Incaseformat的受害者并不知道他们在计算机中释放的是危

最低0.47元/天 解锁文章
w3L1nK_PerkZ
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
incaformat蠕虫病毒样本分析及查杀防范措施
世间繁华梦一出
01-14 3654
2021incaseformat蠕虫病毒一、病毒简介二、样本分析三、查杀与恢复方式四、预防措施 一、病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows 操作系统 危害等级:紧急 病毒影响:删除除系统盘外的所有文件 二、样本分析 1.样本信息 md5:4b982fe1558576b420589faa9d55e81a sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c sha256:ff84e79cae99f5714f363588b
Flame蠕虫样本分析报告1
08-04
报告标题:“Flame蠕虫样本分析报告1” 报告描述:该报告主要涉及对Flame蠕虫的深度分析,这是2012年5月31日首次被发现的一种高级恶意软件。报告由安天安全研究与应急处理中心的分析小组进行,他们在近一个月的...
Incaseformat蠕虫病毒分析
weixin_45484297的博客
03-29 1488
Incaseformat蠕虫病毒分析 01背景 1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。 该病毒最早可以追溯到2009年,该病毒会在2010年4月1日(愚人节)触发删除文件逻辑;而此次爆发的病毒是经过篡改得到的变种,最早可以追溯到2014年。而实际上火绒、360等主流安全防护软件均能查杀这两个变种病毒,中毒用户多是未安装防护软件或是对该病毒添加了信任。 02样本概况 样本名称:tsay.exe 、ttry.exe 严重程度:高危 行为签名:设置注册表实现自
【安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!
爱国小白帽
01-14 1615
通告编号:NS-2021-0002 2021-01-13 TAG: incaseformat、Worm.Win32.Autorun、数据删除、数据恢复 病毒危害: *此病毒会删除所有非系统分区的文件。* 版本: **1.0 ** 1 事件背景 2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录
rmnet蠕虫病毒样本分析
挖树
10-14 2230
rmnet蠕虫病毒样本分析 目录 文章目录目录0x00基本信息0x01 概述0x02流程图0x03 技术细节详细分析第一层壳解密出PE文件第二层壳检查环境准备注入iexplore.exe注入Iexplore.exe恶意六线程线程1: 7ACA 自启动线程2: 7626 测试网络连通性线程3: 781F 记录连通时差线程4: 790C 发送本机信息接收返回指令线程5: 6EA8...
incaseformat蠕虫病毒昨日“发作“,23日可能还会发作
明哥哥知识分享
01-14 713
一. 事件背景 近日,微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染,受害者机器中除了系统盘以外,其 他文件全部被删除。 incaseformat蠕虫病毒发现至今已有十多年历史,一般通过U盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件, 并在根目录下创建名为incaseformat.log的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所 以直到2021年1月13日才被触发。 二. 威胁分析 incaseformat蠕虫病毒运行后,会首先判断是否在系统盘
方程式组织SPARC架构样本分析调试.pdf
08-10
•方程式组织回顾 •SPARC架构分析 •动态调试技术
DDG最新变种3014样本分析
12-20
DDG最新变种3014样本分析
骷髅头病毒分析报告
12-25
原创利用逆向分析工具IDAPro进行分析骷髅头病毒感染迹象以及特征码
Wannacry病毒分析报告.docx
08-23
Wannacry病毒分析报告 Wannacry病毒是一种恶意软件,于2017年五月爆发,感染了全球数十万台计算机,造成了严重的网络安全威胁。根据本报告,Wannacry病毒分析结果如下: 样本概况 Wannacry病毒样本信息包括...
计算机蠕虫病毒分析研究
05-25
本文是一篇针对网络蠕虫传播的论文,主要对网络蠕虫的各种扫描策略、传播机制进行了较深入的研究与探讨
勒索软件样本
01-24
理解软件的功能及原理,加强对系统和网络的安全意识。
incaseformat 病毒分析
锋刃科技的博客
01-15 1034
近日,大量用户文件被删除,源于一个叫做incaseformat病毒,此病毒的主要传播方式是将自身伪装成文件目录,当用户双击时实际上是启动了病毒文件。病毒文件会隐匿在受害者主机中潜伏着,等待指定的时机对用户文件进行删除。实际上此病毒可能在2009年以前就已经存在,但由于编写者所使用的delphi库计算时间的函数有错误,导致近期才发作。此病毒可能已经伴随着受感染者很长一段时间。 此病毒运行后会将自身复制到以下路径 C:\\windows\\tsay.exe C:\\windows\\ttry.e.
incaseformat蠕虫病毒的预防措施及应对措施
qq_42934452的博客
01-14 2353
2021年才开始的第一个月,病毒感染事件再起。昨天开始,很多用户开机后发现多数电脑除C盘外,全部格式化了,所有文件夹都被隐藏,只留下一个incaseformat.txt文件。这是incaseformat病毒在“卷土重来”,并且有大面积爆发迹象! 一、incaseformat病毒 蠕虫病毒:是常见的计算机病毒中的一种,主要通过网络(计算机漏洞、聊天工具、邮件等)和存储工具(U盘等)途径传播,通常隐藏在普通的文件中,比如DOC、PPT、JPG等。蠕虫是一种不断自我复制裂变的代码,在入侵一台计算机完全控制后,会
incaseformat 蠕虫病毒,当心文件被删除
最新发布
weixin_52834323的博客
02-21 58
原本定于 2010 年4 月1 日的文件删除操作直到2021年1 月13 日才被触发,预计下次删除文件操作时间为2021 年1 月23 日和2021 年2 月4 日。2021年01月,incaseformat 蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。备份的最佳做法是采取3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。其会创建一个隐藏的窗口执行,具有4 个定时器。
“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告
weixin_34357887的博客
08-23 256
“魔波(worm.mocbot.a)”蠕虫病毒分析报告 ,最近很流行的一种病毒杀伤力相当大,有点想以前的冲击波~!“魔波(worm.mocbot.a)”蠕虫病毒分析报告 病毒名称:魔波(worm.mocbot.a)      魔波变种b(worm.mocbot.b) 文件类型:pe 驻留内存:是 文件大小:9,313 bytes md5: 2bf2a4...
incaseformat样本详细分析(附样本下载)
Just for funnnnnnnnnnnn
01-16 3910
incaseformat样本详细分析 注:本文首发于我的博客:http://www.hupeiwei.com incaseformat病毒近日爆发,影响了不少主机。这么一个古老的病毒能够造成这么大的影响,令人感到意外。我从微步在线上下载了样本进行分析。需要注意的是,incaseformat有两个在野版本,详见https://www.52pojie.cn/thread-1351233-1-1.html。我分析的应该是原始版本,但是两个版本除了Sysutils::DateTimeToTimeStamp库函数所使
Morto蠕虫病毒分析报告
信息安全
10-31 4412
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb 病毒现场复现 因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload 首先将md.reg...
学习笔记-Ramnit 蠕虫分析
a2a_66666的博客
02-20 678
0x00前言 Ramnit 蠕虫是一种通过可移动驱动器传播的蠕虫。该蠕虫还可以作为后门,允许远程攻击者访问受感染的计算机,通常会寄生在用户的浏览器中,难以察觉,因此每天都有数以万计的用户受其困扰。 分析工具:PEID、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name DesktopLayer.exe File Si...
南开大学硕士论文:Android病毒行为分析工具设计与实现
为了确保工具的有效性,作者编写了测试样本,如读写用户文件、发送通讯录等,结果显示该工具能准确识别恶意行为,为Android病毒行为分析提供了强有力的数据支持。 关键词:Android病毒行为分析、Linux可加载内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值