近日，收到国内多家客户反馈办公设备被名为 incaseformat 蠕虫病毒感染，受害者机器中除了系统盘以外，其他文件全部被删除。Fortinet已经截获并分析了该病毒， incaseformat 蠕虫病毒发现至今已有10多年历史，一般通过 U 盘进行传播，该蠕虫病毒会遍历删除系统盘以外的文件，并在根目录下创建名为 incaseformat.log 的空文件，由于病毒代码中设置变量值的错误，导致计算当前系统时间出错，所以直到 2021 年 1 月 13 日才被触发。


由 Fortinet D-Team 提供技术分析

病毒概述

【恶意家族】incaseformat

【关  键  字】#incaseformat.txt    #tsay.exe   #ttry.exe   

【家族详情】定性：蠕虫         

【传播方式】U盘隐藏正常文件夹，并替换为同名样本母体         
【行为特征】

    删除C盘以外的盘符数据，释放文件incaseformat.txt

    拷贝副本至C:\windows\ttry.exe、C:\windows\tsay.exe

    已知md5: 1071d6d497a10cef44db396c07ccde65

    注册表创建启动项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa


样本分析（1）

incaseformat 蠕虫病毒运行后，会首先判断是否在系统盘目录下和自身文件名，随后进行自复制和设置注册表自启动，启动后判断自身文件路径是否为 "C:\windows\tsay.exe" 或者 "C:\windows\ttry.exe"，当路径名为 "C:\windows\ttry.exe" 才会下一步运行。


 

样本分析（2）

接着，会关闭windows的后缀显示，如本来用户看到的文件名是“tsay.exe”,不显示后缀名后看到的是“tsay”，因为样本图标做了伪装，从而达到了让用户误以为这是一个文件夹的目的。


 

样本分析（3）

一旦用户重启主机后，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，并在根目录留下名为incaseformat.log的空文件。


 

主要传播方式

本病毒主要是通过U盘进行传播，但此病毒早在2014年时就已收入到病毒库中，此病毒所使用的Delphi库中的DateTimeToTimeStamp函数中的IMSecsPerDay变量的错误，最终导致DecodeDate计算转换的系统当前时间错误，导致该样本作为一个较老的病毒，直到2021年1月13日才触发删除用户文件的代码逻辑，不得不让人深省。


产品侧解决方案-FortiGate

1.确保具备反病毒的安全许可。

图片

2.防火墙策略中启用反病毒的相关Profile。

图片

拦截效果

FortiGate通过内置的强大的反病毒引擎对病毒进行了严格查杀，防范从网络或者流量方式对恶意文件进行拦截，避免用户因访问恶意站点或者点击恶意URL下载并感染勒索病毒。

图片
 

产品侧解决方案-FortiClient

FortiClient提供了终端测的安全防护，防止恶意文件通过U盘、微信等其他传输途径感染主机。

IT解决方案：

下一代防火墙部署场景：化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击，且无需进行其他更新
以更低的复杂性提供业内首屈一指的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应

飞塔防火墙服务：应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络

品类：零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源

方案适用机型：

机框设备：FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备：FortiGate 6300F\6301F\6500F\6501F
高端设备：FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备：FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备：FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines：FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV

专有型号/系列：FortiOS 7.0、Fortinet SASE、FortiXDR

服务区域：

四川 飞塔 Fortinet：成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、

广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、

达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet

重庆 飞塔 Fortinet

贵州飞塔 Fortinet：贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet

云南飞塔 Fortinet：昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、

丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、

西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet

西藏自治区飞塔 Fortinet：拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet

飞塔自身关键词：

飞塔防火墙，飞塔官网，飞塔公司，fortigate防火墙，飞塔防火墙配置

飞塔相关关键词：

网络安全，安全SD-WAN，Fortinet FortiGate-VM，Fortinet，VPN保护，Web过滤，

网络分段，网络微分段，物联网平台保护

 

 

更多机型和方案请咨询

成都科汇科技有限公司 — 专业安全服务商。

无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。

地址：四川省成都市人民南路四段一号时代数码大厦18F

电话咨询热线：400-028-1235

QQ：132 5383 361

手机：180 8195 0517（微信同号 ）