追根溯源：incaseformat病毒数年蛰伏或源于精心策划

火绒安全实验室

【快讯】
1月13日， incaseformat病毒在全网集中爆发，中毒用户C盘以外所有文件被删除。火绒工程师在该事件首次报告的逆向分析中，推测病毒程序制作存在错误，导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是，通过火绒威胁情报系统以及样本分析，火绒工程师再次对病毒深度溯源发现，该病毒蛰伏至今才爆发，或为攻击者的精心策划。

根据火绒工程师分析，该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒，最早可追溯至2009年，其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期（愚人节）来看，不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种，最早可追溯至2014年，并被设置在2021年1月13日爆发。



对比两个变种病毒可以发现，两者在核心代码逻辑中仅有一处数据被篡改。这种篡改的方式极其细微隐蔽，更像是精心策划，目的或是为了引导病毒分析人员误以为病毒程序出现bug，增加潜伏的机会，以便继续扩散危害。



图：两个变种病毒出现与爆发时间点

同时，通过深度溯源可以发现，在此前关于该病毒事件的众多分析报告中，不同厂商对该病毒的追溯日期偏差（包括2009年、2014年等）实际上源自对该病毒两个不同变种的混淆。实际上，火绒基于自主反病毒引擎，能够同时查杀两个变种的全部样本。

被篡改的病毒利用文件名获得用户信任躲避查杀，加上超长潜伏期的传播积累，导致感染量持续增长，并于在今年1月13日突然大范围爆发，达到了严重程度。而根据“火绒终端威胁情报系统”监测，也证实在2020年5月以后，被篡改的病毒样本的传播量有显著上升趋势。



一个隐藏七年的老病毒，在攻击者预期的时间里集中爆发，并企图隐瞒、误导对其追溯分析的病毒分析人员，这也给广大安全从业者敲响警钟，在与病毒、黑客的对抗中，需要更加严谨和全面，才能给用户提供可靠的保障。

附：【分析报告】
一、详细分析
通过对incaseformat病毒的溯源，我们发现之前分析报告中推测的该病毒之所以潜伏数年并在2021年1月13日触发删除文件的攻击逻辑，或并非bug导致，而是攻击者精心设计。
通过对火绒捕获的incaseformat病毒同源样本进行梳理，我们发现该病毒至少有两个变种在野进行传播。其中一个变种最早可以追溯到2009年，该病毒变种会在2010年4月1日（愚人节）触发删除文件逻辑；而另一个变种则目前可追溯的出现时间为2014年，该变种为黑客在原始变种基础上通过人为篡改得到，该变种通过人为篡改推迟了攻击逻辑，可在时隔7年后的2021年1月13日触发攻击逻辑。
由于被篡改后的病毒样本在之后一直处于潜伏状态，且不易被用户发现，导致该病毒大肆传播，并在2021年1月13日集中“发作”造成了大范围不良影响。两个变种病毒传播与病毒行为触发时间线，如下图所示：


病毒传播与恶意行为触发时间线


VirusTotal检索原始样本提交信息


VirusTotal检索被篡改样本提交信息

通过对火绒捕获的全部incaseformat同源样本进行梳理，我们发现被篡改样本的数量远大于原始样本数量，两者相差将近79倍。即在野传播的该蠕虫病毒样本中，有接近99%的样本均为被篡改后样本。相关样本数量情况，如下图所示：


原始样本与被篡改后样本数量情况

通过排除被感染型病毒感染或带有感染型残留数据等无效样本情况后发现，被篡改的病毒样本数量从2014年开始整体呈波动上升趋势且于2020年5月开始出现“井喷”式增长。该病毒数量增长趋势与其潜伏期长、集中“发作”、破坏性强等特性，使得此次事件受波及用户广且用户感知强烈。病毒增长趋势，如下图所示：


被篡改后的病毒增长趋势图

通过二进制对比两个病毒变种，发现在核心代码逻辑中仅有一处数据被篡改且极有可能是直接通过二进制的方式进行修改。篡改的位置为Sysutils::DateTimeToTimeStamp库函数所使用的全局变量IMSecsPerDay（一天的总毫秒数），从而影响最终触发删除文件逻辑的时间点。
分析人员在分析病毒样本时，通常会信任库函数代码，而把注意力集中用户代码上。因此这样的运行时库函数篡改很容易被分析人员忽视，从而掩饰病毒的真正意图。被篡改前后的病毒样本代码及数据对比，如下图所示：


被篡改前后的病毒样本代码及数据对比图

被篡改前后的病毒样本在判断触发日期代码相同，具体如下图所示：


被篡改前后的病毒样本在判断触发日期代码相同

二、附录
原始病毒hash



被篡改后的病毒hash

刀大喵

估计病毒作者都忘了这个病毒

梦入神机

刀大喵 发表于 2021-1-15 07:17
估计病毒作者都忘了这个病毒

病毒作者中了病毒就更好玩了，哈哈

火绒安全实验室

xian54966 发表于 2021-1-15 09:54
既然只有一处数据篡改，那安全软件可以根据之前的特征码就可以识别病毒啊，为什么潜伏这么长时间没被查到？

该病毒大多数安全厂商都可以查杀，此次被删文件的用户，普遍是将该病毒加入了信任区，或者根本没有安装杀毒软件。

aixiu2006

对于这次病毒爆发，应该说是这些年基本没有过的，这期间我看了不少家杀毒软件的论坛，让我对杀毒软件厂家有不同的看法，如果说小白能够解决问题，还需要杀软吗？对，我说的就是这个信任区的问题，我感觉近年来杀软过度依赖信任区白名单，只要用易语言编写的程序好象都免不了被杀。而某些网站上的说法，把责任推给用户我不敢苟同。当然现在杀软免费也是个扯蛋的。

图片来源：https://bbs.360.cn/thread-15952432-1-1.html

Lluna

怎么才能获取到样本文件呢

SN1t2lO

也许两次投毒根本不是一个人。2020年5月开始出现“井喷”式增长，很可能是某些下载站或者挂站的功劳。

wonathan

我有一个朋友遇见了。幼师， 园里还在用xp的机器，  资料都没了。

火绒安全实验室

吾爱当归 发表于 2021-1-15 09:56
电脑里面只装了火绒可以吗，电脑资料还挺多的，丢了我要抓狂

您好，可以的，火绒可以查杀该病毒。建议如果怀疑有该病毒，可以全盘扫描排查一下。

rose520rain

哈哈😄

WoShiXXX

来这里抢个前排，话说2009和2014年的提交应该是作者测试免杀能力吧

fallre

10年都没重装系统的人很少吧！

李沉舟33

所以说有什么好的预防方法呢？装杀软？

龍龖龘

如果要是真在7年前故意就埋下了钉子，就太可恶了~~