注意!蠕虫病毒又来了,不少用户已中招
导语:最近朋友圈都在流传蠕虫病毒重出江湖,我去查了查事情的前因后果,这次就和大家聊聊这个。
事情最早出现在人们视线中还是几天前的 1 月 13 号,包括深信服、360、火绒安全实验室等国内一众安全公司纷纷对外发布预警。
预警内容一致,说的是一种名为 incaseformat 的蠕虫病毒正在国内肆意传播,去各大平台随便一搜不难找到已经中招的小可怜的求助,影响范围之大可想而知。
虽然后面各大安全厂商给出了解决方案,但秉着多一事不如少一事的想法,我还是建议看到这一篇文章的小伙伴近期不要随意下载来历不明的软件(有一说一,这玩意有点像戴口罩,我们没有赌的必要),再就是哪怕多喜欢极简的小伙伴也在电脑上备个火绒,好好查杀一遍。
下面我们就先来说说被 incaseformat 盯上的电脑会出现些什么问题。
暴力删除
要知道蠕虫病毒这种上个世纪就已经出现的电脑病毒发展至今,各式变种已经壮大到成千上万了,其中自然也有门派之分,而最近的这个 incaseformat 病毒就属于文件夹蠕虫的一种。
中招以后的电脑会将病毒文件复制到系统盘的 Windows 目录下,并偷摸的创建注册表关联自启动,然后鸡贼的暂时退出。
一旦用户重启电脑,转移到 Windows 目录下的病毒母体就开始打卡上班。
除了包含病毒母体的系统盘,病毒进程会暴力的遍历所有的磁盘文件并挨个进行删除,在删除之后给你留下一个名为「incaseformat」的文档,这也是这种病毒名字的由来。
其实这款病毒并不是什么老瓶装新酒,而是 12 年前的历史遗留问题,这次的集体爆发甚至还有一丝戏剧性。
迟到的病毒
incaseformat 病毒最早出现在 2009 年,是用 Delphi 写的,此后每年都有成功入侵的案例,网上各类求助帖一搜一大把。
至于为啥 incaseformat 能活跃至今,除了诸如打印店这类集中养蛊的毒窝,离不开它对自己隐藏。
incaseformat 兼具木马和蠕虫的双重特点,前者会让它自我复制,并用所在文件夹的名字为自己做第一层伪装,后者再侵染可执行文件,在你双击启动时让病毒在电脑中传播。
所以 incaseformat 病毒往往伪装成其他文件格式的样子(图标一致,内容换了,甚至包含文件夹,如果你显示扩展名,含有病毒的文件夹后缀都是 .exe),让自己显得更加无害。
除此之外,就是 incaseformat 病毒内置有定时的功能,它在感染主机时会获取当前时间,再根据制作者设定的时间来定点爆破,这也是为啥 incaseformat 往往集中爆发的原因。
可问题来了,当初研究过 incaseformat 的安全工程师们并没有发现 1 月 13 号的这次定时,反而排查出离我们最近的两次定时是 1 月 23 号和 2 月 4 号(记得早点去查杀)。
那为什么前几天会有大批量的无辜者中招,让搞数据恢复和电脑维修的老哥们新增了不少订单。
原因就出在了作者写的一个 Bug(我都想好以后这个事怎么介绍了,论搭建测试框架的必要性)。
病毒作者设置定时利用的是 Delphi 的一个时间函数库,然后在拆分日期的过程中使一个变量发生了异常。
结果导致让原本 2010 年愚人节爆发的蠕虫病毒意外出现在了前几天,这么看来大概也算是迟到的愚人节玩笑吧。
熊猫烧香
像 incaseformat 这种不为勒索,只为炫技的蠕虫病毒,难免不让我想起 06 年尾的「熊猫烧香」事件。
虽然那会我年龄不大,但还是有幸见识到了满屏熊猫烧香图标的震撼场面。
抛弃了隐匿性的熊猫烧香病毒,赤裸裸的向他人展示着蠕虫病毒的攻击性,完美符合我之前提到过的蠕虫病毒的特性,感染所有的 .exe 文件,并把图标换成熊猫烧香的样子。
不过说实在的,当时熊猫烧香确确实实打了杀毒厂商的脸。
它一方面和 exe 文件捆绑,让杀毒软件没办法正常查杀,另一方面如果你是感染之后再安装杀毒软件,占领系统的病毒会主动杀死杀毒软件。
一再声称自己安全的杀软脸面全失,这也给后来 360 这种免费杀软的崛起提供了机会。
不过熊猫烧香的制作者为此付出了代价(他没有利用熊猫烧香去勒索或偷取隐私,而是贩卖程序赚了不少),据说后来作者又因为涉嫌制作非法网站给二进宫了。
蠕虫病毒的起源
第一个制作蠕虫病毒的罗伯特那时还是个 20 多岁的研究生,继承了他爸爸(一个挺有名的密码学家)聪明才智的罗伯特,对新兴的互联网有了好奇。
他就想知道互联网到底有多大,也就是到底连接了多少台设备,于是他编写了一个可以在计算机间传播的程序,并上传到了互联网。
在短短的 12 小时内,罗伯特上传的程序让超过 6200 台工作站和小型机处于瘫痪或半瘫痪状态,其中不乏涉及 NASA、各主流大学以及未被披露的美国军事基地,不计其数的数据和资料毁于这 12 个小时之间。
30 多年前的一段代码让整个互联网为之疯狂,俩家大学专门成立小组,花了 72 个小时来寻找制止蠕虫病毒传播的办法。
其实罗伯特并没有想着破坏,而是在验证主机是否被感染时选择了随机验证,这让 1 秒都显得漫长的电脑主机反复感染,最终导致崩溃。
1990 年的时候,年轻的罗伯特被判了 3 年缓刑,不过出狱后的罗伯特并没有像熊猫烧香作者一样动歪脑筋,反而一路开启传奇模式,走上了创业、成为大学助理教授、再创业风投公司的三级跳之路。
总结
一直以来蠕虫病毒就没离开过我们的视线,但现在的杀软在这一方面确实打起了 12 分精神,毕竟不能让历史重演不是。
最近中招的都是裸奔的电脑,追求极简或懒省事(比如我)没有安装第三方的杀软,不过既然 incaseformat 被爆出来了,我们还是应该多注意些(我推荐火绒)。
如果发现自己电脑中招了,千万千万不要重启(找回资料太麻烦了),想办法做好备份,断网查杀才是正道。
其实每一个有名的病毒背后都站了一个聪明的黑客,也不知道写出 incaseformat 的那个他现在有没有成为大佬,有没有为当年自己写的一个小 Bug 而重新回到人们视野里的 incaseformat 而感到意外。
这一篇到这里就结束了,我们有缘下篇再见吧。