Incaseformat病毒事件分析
1. 漏洞类型:
TAG: |
Incaseformat、Worm.Win32.Autorun、数据删除 |
危害等级: |
文件删除 |
应急等级: |
黄色 |
2. 漏洞影响:
近日,全国各个区域都出现了被incaseformat病毒删除文件的用户。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在
名为incaseformat.log 的空文件,因此网络上将此病毒命名为incaseformat。
3. 病毒分析:
(1) 经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置
开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
(2) 当蠕虫病毒在Windows 目录下执行时,会再次在同目录下自复制,并修
改如下注册表项调整隐藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explo
rer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log
的空文件。
4. 解决措施:
(1) 主机排查
排查主机Windows 目录下是否存在图标为文件夹的tsay.exe 文件,若存
在该文件,及时删除即可,删除前切勿对主机执行重启操作。
(2) 数据恢复
切记对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的
数据恢复软件(如:Finaldata、recuva、DiskGenius 等)即可恢复被删除数据。
(3) 病毒查杀
a、首先下载所使用杀毒相关的工具,一款解锁软件Unlock,另一个是U盘
专杀usbcleaner。
b、找到病毒源文件所在地。安装Unlock软件,usbcleaner有绿色版的,
无需安装。在incaseformat.txt文件上右键单击选择unlock,会出来一个对
话框,上面出现该文件的镜像,一般是C:\windows\system32\ttry.exe或者
C:\windows\ttry.exe,这就是病毒源文件所在地了。找到病毒所在地之后,在
任务管理器中结束掉其进程树(如ttry.exe),然后到文件夹下删除该源文件,
同时把每个盘下面incaseformat.txt文件用unlock解锁掉并删除。此时手动杀
毒结束。
c、usbcleaner软件杀毒。关机重启按F8进入启动项选择安全模式启动杀
毒(记住,一定要进入安全模式重新杀毒,否则病毒杀不彻底)。
d、进入安全模式之后,用usbcleaner杀毒,先全面检测,然后执行深度检
测,最后是文件夹图标查杀(这一步是最关键的,查杀病毒的关键步骤),全盘
查杀就可以了。