事件背景

近日，深信服终端安全团队接到用户反馈，共享盘下的文件都神秘消失了，只剩下一个“_”文件夹：

经安全人员分析发现，此现象是感染了一种名为DeviceManager的蠕虫病毒，该蠕虫病毒不仅会修改防火墙的策略、感染网络磁盘进行传播、感染本地压缩文件，还会访问恶意网站下载并运行恶意文件，由于病毒母体总以“DeviceManager”命名，因此被称为DeviceManager蠕虫病毒：

该蠕虫内置了大量域名进行遍历解析，直到其中一个仍活跃的域名解析成功，则尝试下载其他恶意文件。根据威胁情报查询其中一个域名，创建时间为2021年5月份，说明该蠕虫病毒很可能仍在继续更新其恶意组件：

样本分析

基本功能

1、对抗静态检测

使用了混淆和加密的方式，执行后会先对shellcode进行Tea解密，然后在内存中进行PE替换，替换掉原始的PE文件，并修复DOS头、导入表等：

2、添加自启动

通过写入注册表实现开机自启动：

3、修改安全策略

修改防火墙策略：

禁用Windows Defender：

禁用安全通知：

禁用系统还原：

传播及感染

1、感染软盘、网络磁盘，将软盘、网络磁盘中的文件隐藏在"_"文件夹下，通过写入恶意快捷方式、autorun.inf文件等形式引诱用户运行木马文件；写入DeviceManager.exe文件，该文件是木马文件，存放于"_"目录下：

写入autorun.inf文件，自动运行路径指向DeviceManager.exe文件：

创建恶意快捷方式，命令行参数为"/c start _ & _\DeviceManager.exe & exit"，即打开该快捷方式跳转到"_"文件夹，同时运行DeviceManager.exe恶意文件：

删除根目录下所有.lnk、.vbs、.bat、.js、.scr、.com、.jse、.cmd、.pif、.jar、.dll文件：

将所有文件存放至"_"文件夹：

2、通过感染本地压缩包文件、网络服务目录下的exe文件实现更大面积的传播。

遍历磁盘，感染zip、rar、7z、tar格式的文件。

3、感染网络服务目录下的所有exe文件，网络服务目录包括public_html、htdocs、httpdocs、wwwroot、ftproot、share、income。

网络功能

通过逐一连接程序中硬编码的302个恶意域名，直到成功解析，然后下载执行其他恶意文件和组件，部分恶意域名如下：

循环访问域名下载恶意文件：

解决方案

加固和防御

1、关闭不必要的文件共享；

2、使用安全软件定期对主机进行全盘查杀，开启文件实时监控；

3、加强终端安全意识，不随意下载不明文件；

病毒查杀

深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

1.深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2.深信服安全感知、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁；

3.深信服安全产品集成深信服SAVE人工智能检测引擎，拥有强大的泛化能力，精准防御未知病毒；

4.深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。