• 長揚科技新聞
  • “格格病毒”(incaseformat)來襲,長揚提醒工業用戶早防早控

    2021.01.14

    長揚科技安全研究院于2021年1月13日,監測到一種蠕蟲病毒,感染者的機器中除系統盤外的其它文件均被刪除,對受害用戶造成不可挽回的損失。經研究調查,這正是名為“格格病毒”(incaseformat)的蠕蟲家族。


    該病毒不具有網絡傳播性,長揚工控主機衛士可對該病毒進行有效防護,因此已經安裝長揚工控衛士的用戶可以安心無憂。


    格格病毒具體的傳播途徑是什么?用戶應該如何進行防護?


    長揚科技安全研究院通過病毒樣本測試為您帶來答案。


    背景

    實際上,incaseformat家族并非新出現的病毒,這個家族可追溯到十年前的USB蠕蟲家族,根據其傳播機理,當時的各大殺軟都是按照Worm.Win32.Autorun來歸類并查殺的。正如該名字所示,這種病毒是通過U盤和文件共享傳播的,并不具備網絡傳播性。此次大規模爆發并非病毒本身傳播性強,卻剛好暴露出部分企業和個人用戶安全意識薄弱、安全產品安裝防護不到位的問題。

    —— 長揚安全研究院


    樣本分析

    長揚科技對病毒樣本研究后發現,該病毒于2021年1月13日爆發,是由于其時間函數中變量值設置錯誤,直接導致原本應該在2010年4月1日執行的病毒于2021年1月13日才執行。


    2.1 “格格病毒”(incaseformat)啟動機制
    對病毒樣本進行分析,其運行后會釋放tsay.exe到C:\windows\,并且通過修改注冊表鍵值實現自啟動。鍵值如下:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
    Value: String: "C:\windows\tsay.exe"
    隨后結束自身進程。
    系統重新啟動后,tsay.exe開始執行,刪除非系統磁盤的文件,并創建文件大小為0K,文件名為incaseformat.log的文件。


    2.2 遭受“格格病毒”(incaseformat)的病毒特征
    特征一:
    出現incaseformat.log空文本


    特征二
    C:\Windows文件內出現tsay.exe、ttry.exe文件


    特征三:
    出現名稱為msfsa,數據值為C:\windows\tsay.exe的注冊表鍵值

                                       

    主機衛士防護特征

    特征一:系統提示無法訪問指定設備、路徑或者文件,并以氣泡形式報警

    特征二:主機衛士主頁提示風險報警



    特征三:告警日志顯示詳細報警信息


    防護措

    1.     企業和個人用戶日常應做好系統更新和安裝等防護措施。使用U盤等可移動存儲設備時,最好可以先查毒再打開。


    2.     針對該病毒的特性,可以進行windows目錄的排查,比如圖標為文件夾的tsay.exe和ttry.exe,類似文件可作為高懷疑度目標。予以刪除或禁止執行。需要注意的是,因為該病毒會在重啟后執行刪除文件操作,故沒有清除之前切勿重啟主機。


    長揚工控主機衛士(ISG)

    長揚工控主機衛士(ISG)是一款為工控主機量身打造的一款安全防護和系統加固的終端安全軟件產品.


    長揚工控主機衛士(ISG)主要部署在過程監控層上位機、工程師站、HMI操作員站等主機上,其次部署在生產管理層主機及服務器上, 能夠監控主機的進程狀態、USB端口狀態、采用文件加載執行控制、強制訪問控制、完整性保護等技術手段,對操作系統進行安全功能增強,彌補通用操作系統安全性不高的缺陷,提高操作系統的安全保護能力,構建嚴格受控的主機安全環境。


    長揚工控主機衛士可通過可信白名單機制、應用程序簽名、證書等多種檢查機制相配合,建立白名單特征,包括“格格病毒”(incaseformat)在內的任何程序在加載前都需接受白名單特征檢查,病毒無法通過特征檢查,因而無法進入運行狀態,在啟動前便會被終止。
     
    移動存儲介質連接會產生安全事件,通過移動存儲設備的管控,也可以實現對格格病毒的防御。長揚工控主機衛士可對移動介質進行白名單管理、讀、寫、及禁用授權管理。因此長揚工控主機衛士僅允許經過授權可信的USB設備在特定主機上運行,進而可以防御格格病毒利用移動存儲介質進行攻擊。
     

    如需獲得更多技術支持和幫助,請選擇如下方式與我們聯系:

    1、請與對接的長揚科技商務、技術聯系
    2、撥打長揚科技服務熱線:400-6655087
    3、關注“長揚微服務”微信公眾號,進行咨詢

    新聞中心

    熱門動態

    下一條: 2020,長揚的不凡時刻

    ?
    長揚科技官方微信

    010-82194186

    長揚科技官方微信

    Copyright ? 長揚科技(北京)有限公司 All rights reserved | 京ICP備18008714號-1

    香蕉视频app 在线下载免费-香蕉视频app无限版观看-香蕉视频.app 污免费下载