关于蠕虫病毒 incaseformat 的风险提示

发布时间:2021-01-14 点击数量:

   2021年1月13日,深信服、360、火绒安全实验室等国内安全公司对外发布预警,称一种名为incaseformat的蠕虫病毒在国内爆发。蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在学校等单位的内网中的活跃度一直居高不下。此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。

一、病毒介绍

  该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

  值: C:\windows\tsay.exe


    当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:


    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

    最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:

 

 


二、危害影响

   该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

三、建议

    由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议广大师生在未做好安全防护及病毒查杀工作前请勿重启主机:

    1、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

    2、尽量关闭不必要的共享,或设置共享目录为只读模式;

    3、严格规范U盘等移动介质的使用,使用前先进行查杀;

    4、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。


文章来源https://mp.weixin.qq.com/s/bGyzsDHfKHgMJw27Us7Y0w