订阅业界RSS CSDN首页> 业界

新进展:火绒安全发现incaseformat蠕虫病毒遭黑客篡改

发表于2021-01-15 09:13| 来源互联网| 作者互联网

摘要:据火绒安全消息,1月13日爆发的incaseformat病毒分析有了最新进展。火绒工程师通过火绒威胁情报系统以及样本分析,再次对病毒深度溯源发现,该病毒有意蛰伏至今才爆发,或为攻击者的精心策划。

据火绒安全消息,1月13日爆发的incaseformat病毒分析有了最新进展。火绒工程师通过火绒威胁情报系统以及样本分析,再次对病毒深度溯源发现,该病毒有意蛰伏至今才爆发,或为攻击者的精心策划。

而在此前的分析中,火绒推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日,随后国内其它安全厂商也在后续报告中表明一致观点。 

火绒方面发现,该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒,最早可追溯至2009年,其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期(愚人节)来看,不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种,最早可追溯至2014年,并被设置在2021年1月13日爆发。

1610695893562062988.jpg

火绒在报告中详细指出,两个变种病毒在核心代码逻辑中仅有一处数据被篡改。这种篡改的方式极其细微隐蔽,更像是精心策划,目的或是为了引导病毒分析人员误以为病毒程序出现bug,增加潜伏的机会,以便继续扩散危害。

1610695917323095247.jpg

图:两个变种病毒出现与爆发时间点

这也解释了,在此前关于该病毒事件的众多分析报告中,不同厂商对该病毒的追溯日期偏差(包括2009年、2014年等)实际上源自对该病毒两个不同变种的混淆。火绒表示,火绒基于自主反病毒引擎,能够同时查杀两个变种的全部样本。

被篡改的病毒利用文件名获得用户信任躲避查杀,加上超长潜伏期的传播积累,导致感染量持续增长,并于在今年1月13日突然大范围爆发,达到了严重程度。而根据“火绒终端威胁情报系统”监测,也证实在2020年5月以后,被篡改的病毒样本的传播量有显著上升趋势。

1610695944410027085.jpg

 

【免责声明:CSDN本栏目发布信息,目的在于传播更多信息,丰富网络文化,稿件仅代表作者个人观点,与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺,请读者仅作参考,并请自行核实相关内容。凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。您若对该稿件由任何怀疑或质疑,请即与CSDN联系,我们将迅速给您回应并做处理。】