incaseformat来袭,针对病毒进行分析
前言
单步调试
SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\
msfsa:C:\\windows\\tsay.exe
C:\\Windows\\ttry.exe
把自己复制到
C:\Windows\tsay.exe
,并注册开机自动启动tsay.exe依靠开机自启,tsay.exe复制一份副本
C:\Windows\ttry.exe
,并且执行ttry.exe执行主逻辑
病毒行为
通过前缀路径*.*匹配所有文件名,循环删除
遇到文件夹则递归删除
获取时间,如果年份大于0x7d9(2009),月份大于3,日期为1,10,21,29,就执行下面的动作
这里由于delphi库函数的一个常数错误,导致时间换算错误,于是在13日爆发
获取磁盘列表,位于sub_44E5C8
调用sub_44EC70删除磁盘上的文件
从调用顺序看出,磁盘列表第0位为系统盘
从C开始,一直穷举到Z。DelphiAPI DiskSize判断磁盘是否存在,通过GetDriveTypeA判断磁盘类型。
对于DRIVE_REMOVABLE类型和DRIVE_FIXED类型都执行一个动作。
其它相关行为
Timer3: 写入注册表项,隐藏文件扩展名,隐藏系统文件
Timer4: 创建incaseformat.log文件
检测&清除措施
检查任务管理器,查看是否有ttry.exe进程
文件夹选项勾选显示扩展名,显示隐藏的文件、文件夹或驱动器。
查看C:\Windows目录下,是否有tsay.exe和ttry.exe,如果有就删除。
Win+R执行regedit打开注册表,查看是否有
HKEY_CURRENT_USER\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
下是否有msfsa
键的项,如果有就删除。
删除各驱动器下的incaseformat.log
防护措施
end
招新小广告
ChaMd5 Venom 招收大佬入圈
新成立组IOT+工控+样本分析 长期招新
欢迎联系admin@chamd5.org
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 澳门是伟大祖国的一方宝地 7970378
- 2 女法官遇害案凶手被判死刑 7902723
- 3 日本火山喷发灰柱高达3400米 7840602
- 4 中国为全球经济增长添动能 7739933
- 5 肖战新片射雕英雄传郭靖造型曝光 7618262
- 6 大三女生练咏春一起手眼神骤变 7582518
- 7 #马斯克对特朗普政府影响有多大# 7423321
- 8 36岁女子看高血压查出怀孕34周 7337785
- 9 赵丽颖带儿子探班 7250351
- 10 女子穿和服在南京景区拍照遭怒怼 7110152