incaformat蠕虫病毒样本分析及查杀防范措施

最新推荐文章于 2023-02-21 14:40:08 发布
置顶 最新推荐文章于 2023-02-21 14:40:08 发布
阅读量3.7k 收藏 21
点赞数 3
分类专栏: 常见漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzwwhhpp/article/details/112601658
版权
incaseformat蠕虫病毒主要针对windows系统,删除非系统盘所有文件,通过tsay.exe和ttry.exe进行感染,利用RunOnce注册表自启动。防范包括删除相关文件,修复注册表,安装安全软件并定期查杀。
摘要由CSDN通过智能技术生成

2021incaseformat蠕虫病毒

一、病毒简介

病毒名称:incaseformat
病毒性质:蠕虫病毒
影响范围:windows 操作系统
危害等级:紧急
病毒影响:删除除系统盘外的所有文件

二、样本分析

1.样本信息
md5:4b982fe1558576b420589faa9d55e81a
sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c
sha256:ff84e79cae99f5714f363588bc8238096249a85d34982b8d8c9ac2f9c3a639e8
主要文件名为 tsay.exe 和 ttry.exe。
该样本在 windows 下显示的图标形如文件夹图标,具有一定的欺骗性。
在这里插入图片描述

2.样本行为
样本在非 windows 目录下运行,会拷贝副本至 C:\windows\ttry.exe、C:\windows\tsay.exe, 并创建 RunOnce 注册表值设置开机自启。
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\R
unOnce\msfsa
注册表值:
C:\windows\tsay.

最低0.47元/天 解锁文章
0x00dream
关注
专栏目录
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
02-04 8355
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-202
incaseformat蠕虫病毒样本分析
0leg的博客
01-15 2028
@[TOC]incaseformat蠕虫病毒样本分析 前言 2021年1月13日,incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。 安全工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。
Incaseformat蠕虫病毒分析
weixin_45484297的博客
03-29 1561
Incaseformat蠕虫病毒分析 01背景 1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。 该病毒最早可以追溯到2009年,该病毒会在2010年4月1日(愚人节)触发删除文件逻辑;而此次爆发的病毒是经过篡改得到的变种,最早可以追溯到2014年。而实际上火绒、360等主流安全防护软件均能查杀这两个变种病毒,中毒用户多是未安装防护软件或是对该病毒添加了信任。 02样本概况 样本名称:tsay.exe 、ttry.exe 严重程度:高危 行为签名:设置注册表实现自
incaseformat病毒分析
whatiwhere的博客
01-14 5693
愚人节病毒 ??? 不同于熊猫烧香 彩虹猫 之前的钉_钉病毒, 2021年1月13号 incaseformat蠕虫病毒来袭,会自动复制到windows目录下,并写入注册表,重启电脑后,病毒会遍历除了系统盘外的所有磁盘进行删除。 病毒检出率 病毒行为分析 PEID分析 使用Borland Delphi 6.0 - 7.0 [Overlay]编写 先查看字符串信息 进行定位 危险函数相关代码 int TForm1_FormCreate() { __writefsdword(0, (unsigned
如何防护蠕虫病毒
dexunjiaqiang的博客
06-11 1402
一、什么是蠕虫病毒?  病毒Virus.Win32.Alman.b是病毒Virus.Win32.Alman.a的变种。此病毒每感染一个文件,病毒特征就会变一次,杀毒引擎想通过特征码查杀来修复被感染的文件,困难重重。二、蠕虫病毒的表现和危害  virus.win32.sipem.b 这是一个特洛依木马程序,窃取密码。。。实现自启动,病毒运行后允许恶意攻击者远程控制计算机,窃取密码和个人数据。并大量占用系统资源造成机器运行缓慢。  ...
incaseformat病毒突发来袭,该如何预防?
wjs98547664的博客
01-14 618
incaseformat病毒突发来袭,该如何预防? 在1月13日当天,网上很多网友声称中了一种名为 incaseformat蠕虫病毒,incaseformat病毒属于高危病毒,把他电脑里面除了系统盘以外的磁盘文件都删除了。 病毒描述和触发 经过小编的调查了解,该病毒属于高危的蠕虫病毒,对用户电脑的数据破坏非常厉害。病毒在执行后,会自动复制到系统盘Windows目录下,并创建注册表,在我们重启主机时,病毒文件就会在Windows目录下执行,最终把系统盘以外的所有文件删除,然后在根目录留下名为incasefo
rmnet蠕虫病毒样本分析
挖树
10-14 2263
rmnet蠕虫病毒样本分析 目录 文章目录目录0x00基本信息0x01 概述0x02流程图0x03 技术细节详细分析第一层壳解密出PE文件第二层壳检查环境准备注入iexplore.exe注入Iexplore.exe恶意六线程线程1: 7ACA 自启动线程2: 7626 测试网络连通性线程3: 781F 记录连通时差线程4: 790C 发送本机信息接收返回指令线程5: 6EA8...
html格式蠕虫病毒,XiaoBa自制蠕虫病毒[2018-1-10]
weixin_31220971的博客
06-23 533
2018-1-10 23:02:05 创建文件夹 风险提示:低风险 允许进程: c:\documents and settings\administrator\桌面\zhudongfangyu.exe目标: C:\WINDOWS\360规则: [文件组]?:\*《任意文件夹》 -> [文件]?:\*2018-1-10 23:02:20 创建文件 风险提示:低风险 允许...
计算机蠕虫病毒分析研究
05-25
本文是一篇针对网络蠕虫传播的论文,主要对网络蠕虫的各种扫描策略、传播机制进行了较深入的研究与探讨
计算机病毒样本提取工具
05-18
对可疑计算机做病毒分析,提取可疑文件及样本,进行分析及提交。
incaseformat样本赏析
yellow的博客
01-17 1150
incaseformat样本详细分析
incaseformat 蠕虫病毒,当心文件被删除
最新发布
weixin_52834323的博客
02-21 68
原本定于 2010 年4 月1 日的文件删除操作直到2021年1 月13 日才被触发,预计下次删除文件操作时间为2021 年1 月23 日和2021 年2 月4 日。2021年01月,incaseformat 蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。备份的最佳做法是采取3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。其会创建一个隐藏的窗口执行,具有4 个定时器。
Morto蠕虫病毒分析报告
信息安全
10-31 4568
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb 病毒现场复现 因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个是伪装成txt的病毒dll文件,另一个是写入注册表的payload 首先将md.reg...
“魔波(Worm.Mocbot.a)”蠕虫病毒分析报告
weixin_34357887的博客
08-23 264
“魔波(worm.mocbot.a)”蠕虫病毒分析报告 ,最近很流行的一种病毒杀伤力相当大,有点想以前的冲击波~!“魔波(worm.mocbot.a)”蠕虫病毒分析报告 病毒名称:魔波(worm.mocbot.a)      魔波变种b(worm.mocbot.b) 文件类型:pe 驻留内存:是 文件大小:9,313 bytes md5: 2bf2a4...
挖矿蠕虫样本分析
weixin_30319153的博客
11-16 479
转载于:https://www.cnblogs.com/0x4D75/p/9970491.html
WannaCryptor 勒索蠕虫样本深度技术分析
肖飞figo的云计算专栏
05-15 3188
注:以下文章转自Anti Wann Dcryptor联盟: http://www.wannadecryptor.cn/ 一、 WannaCryptor 是如何传播? WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击wind
【PC样本分析】Word/Excel文档伪装病毒-kspoold.exe分析
测试专用
08-30 831
一、 病毒样本基本信息 样本名称:kspoold.exe 样本大小: 285184 字节 样本MD5:CF36D2C3023138FE694FFE4666B4B1B2 病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.doc、.xls文件达到传播病毒的目的,用户运行该kspoold.exe的载体病毒以后,病毒母体kspoold.exe就会驻留到用户的电脑
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值