【事件通告】警惕感染蠕虫病毒incaseformat

0x00 事件概述

2021年01月13日，启明星辰VSRC监测发现有用户中招蠕虫病毒 incaseformat，C盘以外的磁盘的文件被删除，并创建一个incaseformat文档。

0x01 病毒详情

该病毒是用Delphi开发的，2009年开始出现相关的求助帖子，此后每年都有相关的求助和分析的帖子，该病毒可通过U盘进行传播。

图一：incaseforma

incaseformat病毒首先会判定是否在系统目录下和自身文件名，随后会自我复制到%SystemRoot%目录下，并重命名为"tsay.exe"和"ttry.exe"，同时会在SOFTWAREMicrosoftWindowsCurrentVersionRunOnce设置自启动项指向C:\windows\tsay.exe。

图二：tsay.exe和ttry.exe

图三：注册表位置

并复制到除系统分区以外所有分区的根目录下，将分区下已存在的文件夹隐藏，并且以这些文件夹的名称命名。在执行上述操作的同时会篡改注册表，导致系统中的"隐藏已知文件夹类型的扩展名"选项以及“显示所有文件和文件夹”功能失效，以此来达到迷惑用户的目的。

图四：显示所有文件和文件夹

Incaseformat病毒会在特定时间条件下最终会遍历删除系统盘符外的所有文件，并且在根路径下留下incaseformat.log文件。然而由于在调用的函数“Sysutils::DateTimeToTimeStamp”中dword_450180变量值错误设置为“5A75CC4h”导致时间戳换算错误，恶意代码逻辑判断出现错误，触发后续的文件删除功能。

图五：dword_450180变量

图六：变量换算