別炒了，別炒了，十幾年前就免疫了！

1  威脅概述

2021年1月13日，江民赤豹網路安全實驗室接到合作伙伴反饋網路上發現一款會刪除磁碟檔案的病毒。該病毒執行後會建立自身副本到系統盤Windows目錄下，並建立登錄檔設定自啟動，使用者重啟機器後，病毒自啟動程式將會遍歷除系統盤外的所有磁碟，並對檔案進行刪除。經過排查發現，江民防毒軟體能對該病毒進行查殺，目前暫未發現江民客戶受該病毒影響。

病毒名：Worm/AutoRun.hwk（業界稱為“incaseformat”病毒），早在2009年4月9日，江民病毒監測網就捕獲了該樣本，本次研究發現近期有大範圍爆發趨勢。

2  程式碼分析

江民最早於2009年4月9日捕獲該病毒，該病毒為32位PE檔案，為Delphi語言編寫，透過隨身碟傳播。

該病毒的圖示跟windows xp預設的資料夾圖示是一樣的，很具有迷惑性。病毒執行後首先複製自身到C:\windows\tsay.exe。

然後建立登錄檔值，將自身副本程式設定為開機自啟：

登錄檔：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe。

C:\windows\tsay.exe檔案會在重啟後執行，將自身複製到C:\windows\ttry.exe。然後在非系統磁碟機代號下，建立與資料夾同名的可執行檔案。接著設定以下注冊表，來隱藏檔案：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt  0x00000001

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden  0x00000002

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue  0x00000000

根據時間來判斷，執行偽裝檔案的操作，還是執行刪除檔案的操作。由於時間換算的錯誤，導致該病毒潛藏到2021年1月13日才爆發，並且錯誤的執行了刪除檔案的操作。

圖 根據時間判斷執行操作

圖 時間判斷

最後刪除非系統分割槽下所有檔案，在每個磁碟機代號下都產生一個大小為0kb、檔名為incaseformat的文字文件。

總結：該病毒原版是偽裝成資料夾，隱藏原資料夾，以此來隱藏自身、透過隨身碟傳播。由於時間戳判斷錯誤，不再進行隱藏，而是執行刪除操作。

3  危害級別

該病毒會惡意刪除使用者磁碟檔案，對使用者的計算機資料造成極大威脅。

4  處理方案

1、 結束程式C:\windows\ttry.exe

2、 刪除檔案C:\windows\tsay.exe、C:\windows\ttry.exe

3、 還原登錄檔，並將檔案隱藏關閉。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checked

4、 使用分割槽工具進行檔案還原。

江民各個版本可對該病毒進行查殺和防護。

圖1 江民網路版V19查殺截圖

圖2 江民網路版V16查殺截圖

圖3 江民速智版查殺截圖