2009年5月,有網友在百度知道提了一個問題:
“incaseformat蠕蟲無法查殺”
在問題下面,他描述了中毒後的現象:“特徵是每個碟符下都產生一個標題為incaseformat的文字文件,無法刪除,且電腦的搜尋功能無法使用”
從他的問題描述來看,這個病毒尚未給他的電腦造成實際損失(沒刪檔案)。
12年後,多個安全廠商紛紛釋出公告:“incaseformat蠕蟲爆發,***廠商可查殺該病毒”。
各位網友,看了這個訊息,你們有啥感想?
反正,我是替這些廠商挺害臊的。
日期轉換錯誤,導致老病毒在12年後發作
深信服和火絨的技術分析表明,incaseformat病毒設定了發作時間:“在程式碼中內建了一顆“定時炸彈”,蠕蟲會獲取受感染主機的當前時間,獲取到時間後,程式與指定的時間進行了比對,當“年份>2009,月份>3,日期=1或日期=10或日期=21或日期=29
即2009年後,每個大於3月的1號、10號、21號和29號時會觸發刪除檔案操作。”
按照這些條件推算,本來病毒的第一個發作日為2010年的愚人節。
病毒發作之後,會把C盤外的所有檔案全部刪除。如下圖:
但是,因為病毒程式中的Delphi庫出現了錯誤,DateTimeToTimeStamp用於計算的一個變數發生異常,導致轉換後的時間與真實的主機時間並不相符,因此真實觸發時間與程式設定條件不相同(原本2010年愚人節的啟動時間,錯誤轉換成了2021年1月13日)
這就使得這個已經存在12年之久的老病毒,集中在昨天13日開始發作。
距離現在最近的一次刪除檔案時間為1月23日上午6點。
再下一次是2月4日上午8點。
現在安裝主流的防毒軟體,應該都可以查殺這個病毒了,這倒不用擔心。如果檔案已經被刪除,可以先防毒,再用資料恢復軟體試試恢復下,恢復成功率還是挺高的。
病毒怎麼傳播,中毒後有什麼表現?
這個病毒主要透過隨身碟、行動硬碟和網路共享檔案目錄傳播,並會在共享目錄或移動裝置路徑下將正常的資料夾隱藏,自己則偽裝成資料夾的樣子。
這個過程值得詳細說一下:
當隨身碟插入一臺帶毒電腦後,病毒會把自己複製到隨身碟上,並把隨身碟所有的檔案和資料夾進行隱藏,再在隨身碟上建立同名的exe檔案,如下圖:
(這是隨身碟傳播示意圖,並非incaseformat實圖)
當你點選任何一個exe檔案的時候,他會先執行自己,再把對應的、已經隱藏起來的資料夾開啟。這樣如果你不仔細看,這個隨身碟上的檔案和資料夾都是正常的,也能正常開啟,只不過開啟之前會先執行病毒。
病毒執行之後,就是蠕蟲的常規操作:在開機啟動項裡新增自己,可以隨開機而啟動;把自己複製到windows目錄下;查詢時間,如果系統時間滿足執行條件,則把C盤之外的所有檔案刪除;在每個硬碟分割槽建立一個incaseformat檔案。
由於資料夾蠕蟲感染後沒有帶來明顯的損失,大多數使用者都會疏於防範,且檔案蠕蟲主要透過檔案共享和移動裝置傳播,一旦感染後容易快速蔓延內網,很多此次爆發現象的電腦可能在很早前就已經感染。
為什麼說這個病毒羞辱了整個行業?
安全行業通常把自己說的很高大上,又是智慧AI、又是大資料,還有各種各樣的雲,那架勢彷彿病毒只要敢出來就能被第一時間幹掉。
但是啊,事怕細想:
這個病毒從出現到現在,已經過去了12年,最開始那臺中毒電腦,估計也已經被淘汰、不能用了。(你還記得那時候用的什麼電腦嗎)
傳播途徑也不復雜,就是簡簡單單的隨身碟和網路資料夾共享。
技術上有啥高深麼?至少這些報警的安全廠商沒提,而且時間轉換這種重要功能都能出現bug
這麼個破病毒,居然在12年後,還能讓大牌廠商集體為他釋出一次病毒警告,
我注意到一個細節啊。
最早的感染者2009年出現,在技術分析裡,某廠商提到自己的入庫時間是2014年。
好傢伙!
如果我裝了他的防毒軟體,那我就裸奔了5年唄。
那些高大上的病毒監測網路呢,為啥沒發現這個病毒?
這還是中毒使用者都在百度知道這樣的社群求助了,還是沒人搭理。
那要是編寫的再隱蔽一些,沒有發作特徵,不在硬碟上建立“incaseformat”檔案,防毒廠商們乾脆就束手無策唄。
一聲嘆息,不知道說啥。
