• 长扬科技新闻
  • “格格病毒”(incaseformat)来袭,长扬提醒工业用户早防早控

    2021.01.14

    长扬科技安全研究院于2021年1月13日,监测到一种蠕虫病毒,感染者的机器中除系统盘外的其它文件均被删除,对受害用户造成不可挽回的损失。经研究调查,这正是名为“格格病毒”(incaseformat)的蠕虫家族。


    该病毒不具有网络传播性,长扬工控主机卫士可对该病毒进行有效防护,因此已经安装长扬工控卫士的用户可以安心无忧。


    格格病毒具体的传播途径是什么?用户应该如何进行防护?


    长扬科技安全研究院通过病毒样本测试为您带来答案。


    背景

    实际上,incaseformat家族并非新出现的病毒,这个家族可追溯到十年前的USB蠕虫家族,根据其传播机理,当时的各大杀软都是按照Worm.Win32.Autorun来归类并查杀的。正如该名字所示,这种病毒是通过U盘和文件共享传播的,并不具备网络传播性。此次大规模爆发并非病毒本身传播性强,却刚好暴露出部分企业和个人用户安全意识薄弱、安全产品安装防护不到位的问题。

    —— 长扬安全研究院


    样本分析

    长扬科技对病毒样本研究后发现,该病毒于2021年1月13日爆发,是由于其时间函数中变量值设置错误,直接导致原本应该在2010年4月1日执行的病毒于2021年1月13日才执行。


    2.1 “格格病毒”(incaseformat)启动机制
    对病毒样本进行分析,其运行后会释放tsay.exe到C:\windows\,并且通过修改注册表键值实现自启动。键值如下:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
    Value: String: "C:\windows\tsay.exe"
    随后结束自身进程。
    系统重新启动后,tsay.exe开始执行,删除非系统磁盘的文件,并创建文件大小为0K,文件名为incaseformat.log的文件。


    2.2 遭受“格格病毒”(incaseformat)的病毒特征
    特征一:
    出现incaseformat.log空文本


    特征二
    C:\Windows文件内出现tsay.exe、ttry.exe文件


    特征三:
    出现名称为msfsa,数据值为C:\windows\tsay.exe的注册表键值

                                       

    主机卫士防护特征

    特征一:系统提示无法访问指定设备、路径或者文件,并以气泡形式报警

    特征二:主机卫士主页提示风险报警



    特征三:告警日志显示详细报警信息


    防护措

    1.     企业和个人用户日常应做好系统更新和安装等防护措施。使用U盘等可移动存储设备时,最好可以先查毒再打开。


    2.     针对该病毒的特性,可以进行windows目录的排查,比如图标为文件夹的tsay.exe和ttry.exe,类似文件可作为高怀疑度目标。予以删除或禁止执行。需要注意的是,因为该病毒会在重启后执行删除文件操作,故没有清除之前切勿重启主机。


    长扬工控主机卫士(ISG)

    长扬工控主机卫士(ISG)是一款为工控主机量身打造的一款安全防护和系统加固的终端安全软件产品.


    长扬工控主机卫士(ISG)主要部署在过程监控层上位机、工程师站、HMI操作员站等主机上,其次部署在生产管理层主机及服务器上, 能够监控主机的进程状态、USB端口状态、采用文件加载执行控制、强制访问控制、完整性保护等技术手段,对操作系统进行安全功能增强,弥补通用操作系统安全性不高的缺陷,提高操作系统的安全保护能力,构建严格受控的主机安全环境。


    长扬工控主机卫士可通过可信白名单机制、应用程序签名、证书等多种检查机制相配合,建立白名单特征,包括“格格病毒”(incaseformat)在内的任何程序在加载前都需接受白名单特征检查,病毒无法通过特征检查,因而无法进入运行状态,在启动前便会被终止。
     
    移动存储介质连接会产生安全事件,通过移动存储设备的管控,也可以实现对格格病毒的防御。长扬工控主机卫士可对移动介质进行白名单管理、读、写、及禁用授权管理。因此长扬工控主机卫士仅允许经过授权可信的USB设备在特定主机上运行,进而可以防御格格病毒利用移动存储介质进行攻击。
     

    如需获得更多技术支持和帮助,请选择如下方式与我们联系:

    1、请与对接的长扬科技商务、技术联系
    2、拨打长扬科技服务热线:400-6655087
    3、关注“长扬微服务”微信公众号,进行咨询

    新闻中心

    热门动态

    下一条: 2020,长扬的不凡时刻

    
    长扬科技官方微信

    010-82194186

    长扬科技官方微信

    Copyright © 长扬科技(北京)有限公司 All rights reserved | 京ICP备18008714号-1