不可掉以輕心|12年前的蠕蟲病毒再次被喚醒,裝置防護安排起來
釋出時間:2021年1月14日
綜述
2021年1月13日,綠盟科技應急響應團隊接到全國多個客戶反饋感染所謂的 incaseformat 病毒,涉及政府、醫療、教育、運營商等多個行業,且感染主機多為財務管理相 關應用系統。感染主機表現為所有非系統分割槽檔案均被刪除,由於被刪除檔案分割槽根目錄下 均存在名為 incaseformat.log 的空檔案,因此網路上將此病毒命名為 incaseformat。
從搜尋引擎結果來看,該病毒最早出現時間為 2009 年,主流防毒軟體廠商均將此病毒命 名為 Worm.Win32.Autorun,從名稱可以判斷該病毒為 Windows 平臺透過移動介質傳播的病毒。
病毒在非系統盤執行時會將自身複製到Windows目錄下,將自身圖示偽裝成資料夾並且修改登錄檔實現自啟動。該目錄下的病毒會在主機重啟後執行,隨後遍歷所有非系統分割槽下的目錄並且設定為隱藏,並且建立同名的病毒檔案,此外還會透過修改登錄檔,實現不顯示隱藏檔案及隱藏已知檔案型別副檔名。最後對非系統分割槽下所有檔案執行刪除操作,並建立 incaseformat.log 檔案。
檢測防護建議
綠盟科技已釋出處置建議:http://blog.nsfocus.net/incaseformat/
同時,綠盟科技產品為客戶提供有效的檢測和防護能力。
綠盟科技終端安全 UES
綠盟統一終端安全 UES 是集病毒查殺,EDR,終端管理等一體化終端安全產品。透過部署綠盟 UES 產品,全方位對已知惡意檔案,未知惡意程式進行安全檢測,加強企業內網安全監測與防範。
針對此次事件,UES提供如下檢測防護配置建議:
1. 安全團隊已將 incaseformat 病毒列為活躍性病毒,管理員及時開啟 EDR 檢測策略, 重點監測,及時響應。
2. 管理員可透過攻擊誘餌配置,以捕獲 incaseformat 病毒及其可能的變種,一旦發現惡 意刪除行為,則及時進行阻斷,最大限度的降低使用者損失。
3. 管理員可透過配置終端啟動項防護,U 盤診斷,惡意軟體等策略最高層面上防護內 網使用者主機發生類似事件。
綠盟科技智慧安全運營平臺 ISOP
綠盟智慧安全平臺ISOP是一款智慧的安全運營中心產品,能夠接入各類安全日誌,並智慧識別其中的威脅,並提供自動化響應動作。
針對此次事件,對於接入了終端ues日誌的平臺,可以透過平臺威脅管理-智慧搜尋頁面,根據以下方式檢測是否受次威脅影響,並定位受影響資產:
a) 基於樣本hash的檢索
sample_file_md5:"1071d6d497a10cef44db396c07ccde65" OR file_md5:"1071d6d497a10cef44db396c07ccde65" OR sample_file_md5:"4B982FE1558576B420589FAA9D55E81A" OR file_md5:"4B982FE1558576B420589FAA9D55E81A" OR sample_file_sha256:"8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929" OR sample_file_sha1:"71aa3a0af1eda821a1deddf616841c14c3bbd2e3"
b) 基於程式特徵
process_path: "ttry.exe" OR process_path: "tsay.exe"
c) 基於登錄檔項的值特徵
old_value:"C:\\windows\\tsay.exe" OR old_value:"C:\\windows\\ttry.exe" OR new_value:"C:\\windows\\tsay.exe" OR new_value:"C:\\windows\\ttry.exe"
d) 基於登錄檔路徑特徵
registry_path:"\\RunOnce\\" AND registry_name:"msfsa"
如果定位到受影響資產,請及時去資產上排查。
綠盟科技遠端安全評估系統 RSAS
綠盟遠端安全評估系統 RSAS是結合了多年漏洞挖掘和安全服務實踐經驗的新一代漏洞管理產品,可以高效、全方位的檢測主機中的脆弱性風險,提供專業、有效的安全分析和修補建議。
針對本次事件,RSAS已釋出系統外掛升級包,使用者升級至最新版本(V6.0R02F01.2101)即可對該病毒進行檢測。
http://update.nsfocus.com/update/listRsasDetail/v/vulsys
宣告
本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由於傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權宣告等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用於商業目的。
相關文章
- Synaptics 蠕蟲病毒分析APT
- USB裝置遠端喚醒RemoteWakeUpREM
- 如何使用藍芽裝置喚醒您的Mac藍芽Mac
- 使用 Wake Lock API:保持裝置喚醒的最佳實踐API
- 亞信安全釋出防範WannaCry/Wcry蠕蟲勒索病毒緊急通告!
- 磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒dev
- 某IOT蠕蟲病毒分析之UPX脫殼實戰
- win10怎麼解除安裝病毒和威脅防護那個應用_關閉win10病毒和威脅防護功能的方法Win10
- 注意!挖礦蠕蟲病毒BuleHero 4.0版來襲 感染電腦超3萬臺
- 多卡聚合裝置為5G智慧安防保駕護航
- AI蠕蟲是一種虛構的概念,結合了人工智慧(AI)和計算機病毒蠕蟲(worm)兩個概念AI人工智慧計算機Worm
- 情人節網購引熱潮網路釣魚詐騙不可掉以輕信
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 怎麼永久關閉win10的病毒防護 win10病毒防護徹底關閉方法Win10
- 虛假喚醒
- 勒索病毒Coffee來襲:定向攻擊科研院所,蠕蟲性質隱含爆發風險
- 喚醒玩家的少女心——淺談Galgame與萌系文化的點點滴滴GAM
- 20s刪除使用者檔案的incaseformat蠕蟲病毒大爆發!ORM
- WireShark駭客發現之旅(6)—“Lpk.dll劫持+ 飛客蠕蟲”病毒
- MacTotalSecurity for mac(系統病毒防護軟體)Mac
- .NET 網路喚醒
- android 喚醒螢幕Android
- 什麼是惡意軟體?病毒,蠕蟲,特洛伊木馬等有害程式
- win10病毒威脅與防護打不開怎麼辦 win10病毒防護無法開啟的方法Win10
- Win10病毒和威脅防護如何關閉_win10系統關閉病毒和威脅防護的方法Win10
- 全面清理整頓挖礦病毒,如何防止被通報?深信服挖礦病毒防護解決方案出爐
- App相互喚醒的幾種方式APP
- 語音喚醒實現
- win10病毒和威脅防護怎麼永久關閉 win10病毒和威脅防護永久關閉的方法Win10
- win10如何關閉防毒防護 win10病毒防護徹底關閉Win10防毒
- win10怎麼關閉系統防護_windows10的系統防護怎麼關掉Win10Windows
- win10如何關閉滑鼠喚醒_win10關閉滑鼠喚醒方法Win10
- win10睡眠模式怎麼喚醒_win10睡眠按啥鍵喚醒Win10模式
- 計算機病毒傳播途徑有哪些?如何做好病毒防護?計算機
- “魔獸”玩家小心啦! Lucky蠕蟲病毒利用魔獸地圖大肆傳播地圖
- HTML5如何喚醒APP?HTMLAPP
- 同步篇——事件等待與喚醒事件
- 天台人滿為患,不如來看下這個Ramnit蠕蟲分析