用戶中心
· 企業(yè)空間 首頁(yè) | 資訊 | 技術(shù) | 產(chǎn)品 | 企業(yè) | 直播 | 專題 | 智能制造 | 論壇| 在線研討會(huì)
中控技術(shù)股份有限公司
企業(yè)空間 > 新聞 > 正文
  • Incaseformat病毒來襲?中控技術(shù)supCERT教你如何應(yīng)對(duì)!
  • 發(fā)布時(shí)間:2021/3/5 14:51:30   修改時(shí)間:2021/3/5 14:51:30 瀏覽次數(shù):3118
  •   2021年1月13日,一種名為incaseformat的蠕蟲病毒在全國(guó)各地爆發(fā),浙江中控技術(shù)股份有限公司工控網(wǎng)絡(luò)安全應(yīng)急響應(yīng)中心supCERT也接到客戶反映磁盤文件被清空,疑似中了該病毒,并有多個(gè)客戶咨詢中控技術(shù)的安全防護(hù)產(chǎn)品能否防御此次爆發(fā)的病毒,supCERT安全工程師得到樣本后第一時(shí)間對(duì)病毒進(jìn)行分析。
      一 病毒機(jī)理分析
      樣本文件名: tsay.exe/ttry.exe
      文件大小: 496640 字節(jié)
      MD5: 4E242BBE2FFB1DB45442FA6037C9FD6E
      SHA1: 43D41D5EFF896A4042E56A7A2B46DD8D073752EA
      CRC32: AFE5FF81

      圖1 病毒詳情

      圖2 病毒文件

      該病毒使用delphi編寫,病毒會(huì)偽裝為文件夾圖標(biāo),感染病毒后,病毒會(huì)將自身復(fù)制到C:\Windows目錄下,并創(chuàng)建注冊(cè)表自啟動(dòng)項(xiàng)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

      圖3 自身復(fù)制

      圖4 寫注冊(cè)表自啟動(dòng)

      當(dāng)病毒在C:\Windows目錄下運(yùn)行時(shí),會(huì)修改注冊(cè)表禁用顯示隱藏文件,并判斷系統(tǒng)時(shí)間,滿足條件時(shí)遍歷磁盤,刪除除C盤外的所有文件,并在根目錄留下incaseformat.log文件。

      圖5 修改注冊(cè)表

      圖6 刪除文件生成incaseformat.log

      值得注意的是作為一個(gè)老病毒,因?yàn)槭褂昧薲elphi庫(kù)中的DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤,最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤,直到2021年1月13日才觸發(fā)了刪除文件的代碼邏輯,導(dǎo)致大規(guī)模爆發(fā)。該病毒設(shè)定的刪除日期不止1月13日,距離最近的下一次刪除時(shí)間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的風(fēng)險(xiǎn)。
      解決方案 
      經(jīng)supCERT驗(yàn)證,該病毒不具備網(wǎng)絡(luò)傳播的功能,主要是通過USB等設(shè)備傳播且只有在C:\Windows目錄下運(yùn)行時(shí)才會(huì)執(zhí)行刪除文件等惡意操作,而重啟電腦則是導(dǎo)致其執(zhí)行惡意操作的主要途徑。
      若發(fā)現(xiàn) C:\Windows目錄下存在名為tsay.exe/ttry.exe的病毒文件,可以直接刪除病毒文件,在刪除之前請(qǐng)不要重啟電腦。然后排查注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce是否存在病毒的自啟動(dòng)項(xiàng)。
      經(jīng)驗(yàn)證,在安裝了中控技術(shù)主機(jī)安全衛(wèi)士VxDefender的電腦上開啟白名單防護(hù)功能,并確認(rèn)白名單列表中未包含tsay.exe和ttry.exe文件,則無(wú)論重啟或是直接雙擊運(yùn)行C:\Windows目錄下的病毒文件,都可以成功攔截incaseformat病毒。

      圖7 主機(jī)安全衛(wèi)士主界面

      圖8 程序白名單攔截提示

      圖9 程序白名單攔截提示

      圖10 程序白名單攔截日志

      中控技術(shù)主機(jī)安全衛(wèi)士專業(yè)版VxDefender Pro已內(nèi)置黑名單殺毒引擎,可使用病毒查殺功能成功查殺隔離該病毒,有效地保證工業(yè)主機(jī)的安全穩(wěn)定運(yùn)行。

      圖11 主機(jī)安全衛(wèi)士專業(yè)版病毒查殺功能

      安全建議
      1. 不要下載或點(diǎn)擊未知來源的文件
      2. 嚴(yán)格規(guī)范U盤等移動(dòng)存儲(chǔ)設(shè)備的使用
      3. 安裝殺毒軟件,定期進(jìn)行掃描殺毒
      4. 安裝主機(jī)安全防護(hù)產(chǎn)品
  • 企業(yè)介紹
扎根行業(yè)厚土,引領(lǐng)工業(yè)智能。中控技術(shù)股份有限公司(簡(jiǎn)稱“中控技術(shù)”,股票代碼:688777.SH,SUPCON.SW)成立于1999年,秉持“讓工業(yè)更智能,讓客戶更成功”的使命及“成為工業(yè)AI全球領(lǐng)先企業(yè),用AI推動(dòng)工業(yè)可持續(xù)發(fā)展”的美好愿景,持續(xù)推動(dòng)AI技術(shù)的…  更多>>
  • 聯(lián)系方式

中控技術(shù)股份有限公司

聯(lián)系人:中控技術(shù)

地址:杭州市濱江區(qū)六和路309號(hào)中控科技園

郵編:310053

電話:0571-88851888(總機(jī)轉(zhuǎn))

傳真:0571-86667555

公司網(wǎng)址:http://www.supcontech.com

  • 該空間手機(jī)版

掃描此二維碼即可訪問該空間手機(jī)版

  • 在線反饋
1.我有以下需求:



2.詳細(xì)的需求:
姓名:
單位:
電話:
郵件:
您還沒有登錄,請(qǐng)登陸,
如果您還沒有注冊(cè),點(diǎn)擊這里注冊(cè).
  • 網(wǎng)友反饋
  • 成東彥 在2025/5/11 11:04:00留言
  • 留言類型:貴公司產(chǎn)品銷售人員聯(lián)系我,
  • 詳細(xì)留言:詢價(jià)過程校驗(yàn)儀
  • 王家梁 在2025/4/23 9:52:00留言
  • 留言類型:貴公司產(chǎn)品銷售人員聯(lián)系我,貴公司技術(shù)支持人員聯(lián)系我,
  • 詳細(xì)留言:我公司需要dcs系統(tǒng)整體更新
  • 陳女士 在2025/4/3 9:14:00留言
  • 留言類型:我讓貴公司產(chǎn)品銷售人員聯(lián)系我,
  • 詳細(xì)留言:產(chǎn)品采購(gòu)
  • 胡老師 在2025/3/20 11:37:00留言
  • 留言類型:我想得到貴公司產(chǎn)品詳細(xì)資料,我想得到貴公司產(chǎn)品的價(jià)格信息,我讓貴公司產(chǎn)品銷售人員聯(lián)系我,我讓貴公司技術(shù)支持人員聯(lián)系我,
  • 詳細(xì)留言:了解智能端蓋和無(wú)線溫振測(cè)量?jī)x的相關(guān)資料
  • 張先生 在2025/2/25 19:02:00留言
  • 留言類型:貴公司技術(shù)支持人員聯(lián)系我,
  • 詳細(xì)留言:需定制一款移動(dòng)式智能監(jiān)測(cè)設(shè)備,針對(duì)施工現(xiàn)場(chǎng)反三違監(jiān)測(cè)預(yù)警提醒
更多請(qǐng)進(jìn)入空間管理中心查看
關(guān)于我們 | 網(wǎng)站地圖 | 聯(lián)系我們
© 2003-2018    經(jīng)營(yíng)許可編號(hào):京ICP證120335號(hào)
公安機(jī)關(guān)備案號(hào):110102002318  服務(wù)熱線:010-82053688
我要反饋