V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
matrix67
V2EX  ›  程序员

如今中这个 incaseformat 蠕虫病毒的应该都是超级老的电脑了吧

  •  
  •   matrix67 · 2021-01-14 18:45:39 +08:00 · 3356 次点击
    这是一个创建于 1443 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.sohu.com/a/444507332_100059676

    ---
    然而,与其他文件夹蠕虫不同的是,incaseformat 蠕虫病毒在代码中内置了一颗“定时炸弹”,蠕虫会获取受感染主机的当前时间,获取到时间后,程序与指定的时间进行了比对,当条件为:

    年份>2009,月份>3,日期=1 或日期=10 或日期=21 或日期=29

    即 2009 年后,每个大于 3 月的 1 号、10 号、21 号和 29 号时会触发删除文件操作。

    然后通过 DecodeDate 函数拆分日期,奇妙的是,该程序中的 Delphi 库可能出现了错误,DateTimeToTimeStamp 用于计算的一个变量发生异常:

    导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本 2010 年愚人节的启动时间,错误转换成了 2021 年 1 月 13 日,本次病毒爆发可能是迟到的愚人节玩笑):

    ----

    这是要 10 年前就中了而且还在用的电脑。

    作者估计本来是想在愚人节的时候闹一下,也没想因为一个 BUG,这款病毒在 12 年后会在全国爆发,引起这么大的动静,估计昨天作者看到了各大安全厂商的报道,才知道自己的“作品”受到了这么大的“欢迎”,也许这位作者已经成为了”某个安全厂商“的安全”砖”家。
    16 条回复    2021-01-15 15:37:21 +08:00
    festoney8
        1
    festoney8  
       2021-01-14 20:59:24 +08:00   ❤️ 8
    二话不说直接清盘,不勒索不弹窗不烦人,是上古病毒的味道了
    Novichok
        2
    Novichok  
       2021-01-14 22:44:02 +08:00
    话说出来,就不受你控制了;病毒写出来,也会失控
    Phariel
        3
    Phariel  
       2021-01-14 23:45:32 +08:00 via iPhone   ❤️ 1
    就喜欢像 CIH 这种破坏软硬件短平快的态度 现在各种我秦始皇打钱各种墨迹 没劲
    Greatshu
        4
    Greatshu  
       2021-01-14 23:58:23 +08:00
    估计这次 incaseformat 受害者中有“我从来不装杀毒软件,也没有中病毒”类人群。
    14ccc
        5
    14ccc  
       2021-01-15 00:09:31 +08:00
    控台有没有见过,酒吧里控制灯的控台,这次好多都中招了。控台软件其实就是装在 win 里的,直接中招,根本没法防
    msg7086
        6
    msg7086  
       2021-01-15 01:50:34 +08:00
    @Greatshu 这还要估计啥,中国那么大,总能找出至少一个人的。
    jy02201949
        7
    jy02201949  
       2021-01-15 09:15:25 +08:00
    银行、运营商可能会有这样的设备,我到客户机房就见过一台联想万全服务器还服务的,上面装的 win server 2003,里面东西太老当初弄的人也离职了,现在没人会维护,就让它一直在那跑了,估计哪天客户领导觉得性能跟不上或者有新需求才会更换吧
    no1xsyzy
        8
    no1xsyzy  
       2021-01-15 09:29:08 +08:00
    可是应当已经爆发过?
    “该蠕虫病毒由 Delphi 语言编写,最早出现于 2009 年,此后每年都有用户在网络上发帖求助该病毒的解决方案。”
    猜测是不是复制自己的时候发生了变异(这可太病毒了
    充分说明需要 ECC 、以及不在 ECC 机器上构造可执行文件时需要 WET 并相互对照校验(双螺旋冗余)
    (胡言乱语
    mostkia
        9
    mostkia  
       2021-01-15 09:35:19 +08:00
    @Novichok 也是能控制的,取决于作者是不是想,因为这也可能成为病毒的一个软肋。就像之前的勒索病毒,原代码里发现了一段代码,会不断检测一个超级长的域名(几乎没有可能被无意注册的那种),如果被注册能访问了,就判断是创造者的终止命令,病毒会自我销毁终止破坏。
    matrix67
        10
    matrix67  
    OP
       2021-01-15 09:37:31 +08:00
    @no1xsyzy #8 666 哈哈进化了
    matrix67
        11
    matrix67  
    OP
       2021-01-15 09:41:43 +08:00
    @mostkia #9 这种有个前提要联网,要是像上面楼说的酒吧控制台,那不联网就不行了
    CloseToWheat
        12
    CloseToWheat  
       2021-01-15 09:45:20 +08:00
    也就是说得 10 年不换电脑才能中吧
    JakeTan
        13
    JakeTan  
       2021-01-15 11:04:42 +08:00
    杀毒者投毒
    Eytoyes
        14
    Eytoyes  
       2021-01-15 14:18:25 +08:00
    机房里还有一台 771 服务器,做域控的,硬盘爆过三次黄灯,都挺下来了,这年代感
    sasalemma
        15
    sasalemma  
       2021-01-15 15:04:18 +08:00
    @jy02201949 百毒旗下那些签约的广告本地拓展的外包公司,就像挂名碧桂园的建筑公司一样的那种,上面还是跑着 2003+一万个站点的那种,能用就用,能打开的绝对不换配置。
    Cloutain
        16
    Cloutain  
       2021-01-15 15:37:21 +08:00
    那个年代用 Delphi 写马很常见,参考灰鸽子。Delphi 辉煌不再,哎
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2730 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:19 · PVG 20:19 · LAX 04:19 · JFK 07:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.