粗心大意|黑客也有粗心大意的时候——Incaseformat蠕虫病毒丨大东话安全( 二 )_溺水|防范|安全

小白：这个病毒是通过什么来传播的？网络吗？
大东：该蠕虫病毒是属于通过U盘来传播的病毒。
小白：我感觉这种通过U盘扩散的病毒很容易传播，而且很可能渗透大一些比较重要的系统中。
大东：也不尽然，如果一些重要的系统布置一些防护软件的话，还是能很容易能感知、拦截病毒的。
小白：没有防护软件的电脑可真是太不安全了，希望安全意识不太强的人赶紧装个防护软件，保护下自己的电脑。
大东：其实现在我们国家非常重视网络安全，群众的安全意识也一定会慢慢提高的。
小白：东哥，那些被病毒删除的文件是不是找不回来了呀？听我同学说，他的被删除文件里还有好多重要的东西呢！！
大东：其实还是有补救的余地的，安全厂商经测试发现该蠕虫病毒删除的文件可由数据恢复软件进行恢复。
小白：太好了，我一会就去告诉我朋友，感觉这个情报值一顿饭，哈哈。
大东：所以说知识就是力量嘛，这件事对于我们这些研究人员也是一次很好的教训，厂商的持续威胁捕获能力，基础引擎检测能力和主防能力是有效端点防御的基石。没有这些基石支撑的产品，甚至无法通过对抗陈旧病毒的试炼。
小白：嗯嗯，东哥，问完我朋友的疑惑，我们来继续研究这个病毒吧。
大东：你还有什么想知道的吗？我想给你看一下病毒样本母体以及衍生文件的信息吧，这样可能你会更容易想问题。

文章插图
样本母体（图片来自网络）

文章插图
衍生文件（图片来自网络）
小白：东哥，给你的敬业服务态度打99分，剩下那分不给你是怕你骄傲。
大东：小白，最近有点飘呀。
小白：哈哈，不贫了，开始学习问问题，东哥，这个样本被植入电脑后是如何工作的？
三、大话始末
大东：我们先说样本母体吧，该样本运行后会在C:\windows这个目录下生成tsay.exe可执行文件，并且还会修改注册表键值来实现自启动。
小白：修改注册表还能实现自启动？怎么做到的？
大东：很简单，只需要在这个路径下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce创造注册表键值，名称为msfsa，值为"C:\windows\tsay.exe"就可以了。
小白：这么简单的吗？那该病毒还会做什么吗？
大东：没有了，病毒做完上述工作后就直接结束自身进程了。
小白：那衍生文件的运行和样本母体有什么不同呢？
大东：在系统启动后，衍生文件开始运行，文件运行后主要做以下行为：删除非系统磁盘的文件，并创建文件大小为0K，文件名为incaseformat.log的文件。

文章插图
创建文件incaseformat.log（图片来自网络）
小白：这个文件是在D盘？
大东：没错，不仅如此，病毒还会复制自身到D盘，并将病毒文件名重命名为删除的文件夹名。
小白：复制自己可还行，不过后面这句没怎么听懂。
大东：举个例子，比如D盘存在Program文件夹，则病毒的文件名则会为Program.exe，给你看下删除文件的代码吧。

文章插图
删除文件操作代码（图片来自网络）
小白：懂了，不愧是举例达人东哥呀。
大东：小白胆子变肥了呀，敢给我起外号了？
小白：哈哈，这个外号是亲昵的外号。不过这代码里怎么没有那个时间函数呢？
大东：DateTimeToTimeStamp函数是在Delphi库中，稍等，我给你找下代码。