一、病毒简介
病毒名称:incaseformat
病毒性质:蠕虫病毒
影响范围:windows 操作系统
危害等级:紧急
病毒影响:删除除系统盘外的所有文件
二、样本分析
1.样本信息
md5:4b982fe1558576b420589faa9d55e81a
sha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3c
sha256:ff84e79cae99f5714f363588bc8238096249a85d34982b8d8c9ac2f9c3a639e8
主要文件名为 tsay.exe 和 ttry.exe。
该样本在 windows 下显示的图标形如文件夹图标,具有一定的欺骗性。
2.样本行为
样本在非 windows 目录下运行,会拷贝副本至 C:\windows\ttry.exe、C:\windows\tsay.exe, 并创建 RunOnce 注册表值设置开机自启。
注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
或
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\R
unOnce\msfsa
注册表值:
C:\windows\tsay.