01背景
1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。
该病毒最早可以追溯到2009年,该病毒会在2010年4月1日(愚人节)触发删除文件逻辑;而此次爆发的病毒是经过篡改得到的变种,最早可以追溯到2014年。而实际上火绒、360等主流安全防护软件均能查杀这两个变种病毒,中毒用户多是未安装防护软件或是对该病毒添加了信任。
02样本概况
样本名称:tsay.exe 、ttry.exe
严重程度:高危
行为签名:设置注册表实现自启动、将自身拷贝到其他目录下、搜索并加载模块资源
是否加壳:未加壳
测试环境:win7专业版64位
工具:PEid、IDA、RegShot、DeDe
03行为分析
原exe程序图标是文件夹图标,实际上是一个可执行文件,让用户误以为是文件夹而去双击打开。
直接双击执行exe会不停地报错弹框,因为在当前用户权限下无法修改注册表项,当在任务管理器关闭进程后就会提示以管理员权限启动。
以管理员权限运行后,用户看不到任何界面变化,在任务管理器里该进程也是一闪即逝,但是在C:\Windows目录下可以找到一个tsay.exe,此时病毒并不会执行。当电脑重启后,tsay.exe自启动复制一个副本C:\Windows\ttry.exe并执行,隐藏扩展名且不显示隐藏的文件。
此时文件还不会被删除,样本只在特定时间条件下遍历其他盘符并删除文件,最后在根目录留下一个incaseformat.log的空文件。
04详细分析
用PEid,确认该程序是Delphi编译的程序,未加壳。通过节查看器也可以发现CODE段,确定是Delphi编译的程序。
使用regshot工具对比执行原exe前后注册表变化,发现给系统目录下的tsay.exe注册自启动项。
重启电脑后自启动副本ttry.exe,通过修改注册表来隐藏文件后缀、不显示隐藏文件。
删除checkedvalue
修改checkedvalue为0
修改hidden值为2,hidefileext为1
IDA静态分析exe,但IDA对于Delphi程序的反编译可读性相对较差,函数和字符串信息可能识别错误,所以函数窗口会有很多无法识别的函数,这里我用DeDe先找到功能函数,包括一个formcreate和四个定时器触发函数。
在IDA中找到这五个函数,需要注意的是,Delphi程序的每个动作,其实都是通过CALL实现的,也就是调用WINDOWS的API函数,或者调用DELPHI自己封装好的函数,或者调用自己程序的内部函数,所以主要分析CALL。(DeDe对Delphi的反编译效果更好,但是我的DeDe反编译窗口弹不出来,就只好用IDA了)
Formcreate:
该函数主要功能可以分为三部分,第一部分比较简单,主要是对函数的调用以实现检查文件路径的目的,这部分中涉及的字符串类型多是“/”或者“: /”。
第二部分首先判断C:\windows\tsay.exe是否存在,存在则执行跳转第三部分44F16F,不存在则调用CopyFileA复制当前文件至C:\windows\tsay.exe。
第三部分是修改注册表,SetRootKey作用是设置进行注册表操作的根键,这里传入edx的80000002h值就是对应的跟键值,而_str_SOFTWARE_Micros对应的就是具体修改的值,是将msfsa = C:\windows\tsay.exe写入注册表HKEY_LOCAL_MACHINE/SOFTWARE\Microsoft\Win-dows\CurrentVersion\RunOnce,以实现下一次的开机自启,这与之前发现的注册表变化一致。
SetRootKey参数与根键的对应关系如下:
然后是一个跳转判断,如果是C:\windows\tsay.exe跳转至44F28E,如果是C:\windows\ttry.exe跳转至44F2F4。
44F28E会复制到C:\windows\ttry.exe,然后启动ttry.exe,Formcreate函数主要功能到此结束。
Timer1timer:
这个函数只发现一个对盘符的扫描,跳转44E5C8,可以发现对bl的一个赋值,查询ASCII表可以发现43h是C。
44E694跳转是一个循环,对ebx+1,即下一个盘符,然后判断是否在58h内,58h刚好是字母Z的后一个。
推测判断,这个函数应该是判断有哪些盘符存在,以便之后进行删除。
Timer2timer:
对日月年有一个时间设置,然后是对年月日的一个判断,年份大于2009、月份大于3、日为1或10或21或29时,跳转44EF31,否则跳转44EF5E。
44EF31处开始,调用删除函数(44EC70)。在此之前ebx应该还停留在盘符判断时的5B,在第一次调用44EC70前有一次dec ebx,然后是自身的重复调用也就是遍历磁盘,对除C盘文件外的所有文件进行删除操作。
44EC70中有一个拼接路径,其实就是对文件夹内的东西递归删除。按照时间逻辑13号这个病毒应该不会发作,但制作者设置Sysutils::DateTimeToTimeStamp变量错误,导致时间戳换算结果错误。
Timer3timer:
这个函数也是修改注册表,可以看到除了增加键值,还包括对已有值得修改,和对键的删除,目的是隐藏文件后缀、不显示隐藏文件。
Timer4timer:
删除完一个盘符后,会在磁盘根目录下会留有incaseformat.log文件,将盘符与incaseformat.log字符串拼接,调用TFileStream函数向拼接好的路径进行写操作创建文件。
05解决方案
由于该病毒只有在Windows平台下执行时会触发删除文件行为,重启会导致病毒在Windows平台下自启动。因此:
1、在设备被感染的第一时间,切忌重启,并立即删除病毒程序;
2、注意全盘杀毒,修复注册表;
3、禁止U盘自启动;
4、如若文件已经删除,立刻切断电源,使用数据恢复软件进行数据恢复。
927
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
