粗心大意|黑客也有粗心大意的时候——Incaseformat蠕虫病毒丨大东话安全( 三 )_溺水|防范|安全

文章插图
样本中错误的函数变量代码（图片来自网络）
小白：那是哪个参数变量写错了？
大东：错误变量的名称为：IMSecsPerDay，黑客写的正常值应为0x5265C00，但是被错误的写为0x5A75CC4。故文件删除操作虽原定于2010年4月1日，但于2021年1月13日才成功执行。
小白：感觉这两个值也不像呀，怎么会写错呢？
大东：这个我就不太清楚了，病毒的原逻辑为：year>2009&&month;>3&&(day==1||day==10||day==21||day==29)。
小白：是从2010年开始，每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行恶意操作嘛。
大东：没错，但是由于变量值的错误，计算完以后预计该病毒未来删除文件操作时间如下：
样本实际删除文件时间
小白：感觉变量值错了以后，删除文件的频率更高了，估计黑客也没有想到传错的变量会造成这样的影响吧，这就是无心插柳柳成荫嘛。
大东：小白，文化造诣不错呀，这小诗一句句的。
小白：那当然，才高八斗，学富五车就是在下了。
大东：哈哈，你确定你有那么高吗？
小白：额，东哥，我们应该怎么手动处置这个病毒呢？
大东：你这话题转的有点僵硬哦，其实处置的方法很简单，首先结束下列进程tsay.exe、ttry.exe。
小白：然后呢？注册表也要改吧！！
大东：还没到那一步，接下来我们需要删除下列文件
C:\windows\tsay.exe；C:\Windows\ttry.exe，最后才是删除注册表的值。
小白：是直接删除前面说的注册表路径下的值吗？
大东：不仅删除那个路径下的值，还需要删除该路径HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce下名为“msfsa”的键值。
小白：东哥，有什么好的安全软件推荐吗？我一会去推荐给我朋友。
大东：这个你自己可以去网上搜搜，要是我说出来有打广告的嫌疑。
小白：那可以给点线索吗？
大东：现在已经有防御产品可实现对以上恶意软件的查杀与有效防护，这是测试结果图，我能说的就只有这些了。
测试结果
小白：好的，谢谢东哥！
大东：但是从这个事件也能看出来我们国内安全的不容乐观以及现在安全界存在的问题。
四、小白内心说
小白：为什么这么说？
大东：因为这个蠕虫病毒在很久之前就可以预防了，那为什么安全厂商不能做到在蠕虫病毒发作之前告知用户呢？比如像这次这个事件，如果有安全厂商可以通报用户：最近要有蠕虫病毒发作，如果不安装其安全软件，则磁盘数据就会被清空。这样当蠕虫发作时，安装了其产品的避免了攻击，你想，这个厂商的产品肯定会很受欢迎吧。
小白：确实是这样，不过我感觉这个事件也跟用户安全意识薄弱有关，如果都安装了杀毒软件，那可能就不会有人被该蠕虫病毒攻击了吧。
大东：没错。虽然用户的安全意识需要提高，但安全厂商更应该提升其预警能力，因为厂商是为用户而服务的，产品也应该以用户的安全、便捷为目标。
小白：网络空间的安全不能只靠安全厂商设计出更安全的软件，还需要我们培养安全意识，不然的话，无论有多安全的软件，都会有可能被黑客入侵，所以现在群众的网络安全意识培养是重中之重。
参考资料
1. incaseformat蠕虫病毒大爆发！20s删除用户文件
https://netsecurity.51cto.com/art/202101/640902.htm
2. 警惕incaseformat蠕虫，可大批量删除文件
https://mp.weixin.qq.com/s/-0_pzakBwXiA1iU8X-ykqw
3. 突发！incaseformat蠕虫病毒来袭，警惕文件遭删除https://m.k.sohu.com/d/509675539