发布时间:2021-01-30 15:19 浏览次数:0
01 病毒基本信息 名称:Incaseformat 性质:蠕虫病毒 影响范围:全国,有规模爆发趋势 危害等级:高危,可导致用户数据丢失 02 病毒行为特征 中毒后,电脑中除C盘外的其它磁盘文件都被删除,且在磁盘中创建“incaseformat”文本文档。 此病毒被运行后将自身复制到C 盘,并创建开机启动项。在下次开机20s后执行文件删除。 03 病毒分析 该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 值: C:\windows\tsay.exe 当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0 最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件: Incasefotmat是个老病毒,各大杀毒软件均可查杀。 安全专家对病毒样本进行分析,病毒上次发作时间为1月13日,预计下次发作时间为23日。 04 防护方案 由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机: 1. 安装杀毒软件,保持杀毒软件有效运行,及时更新病毒库。 2. 不要随意下载安装未知软件,尽量从官方网站下载。 3. 严格规范U盘等移动介质的使用,使用前先进行查杀; 4. 如发现已感染主机,先断开网络,使用杀毒软件进行全盘扫描查杀,再尝试使用数据恢复类软件。
01
病毒基本信息
名称:Incaseformat
性质:蠕虫病毒
影响范围:全国,有规模爆发趋势
危害等级:高危,可导致用户数据丢失
02
病毒行为特征
中毒后,电脑中除C盘外的其它磁盘文件都被删除,且在磁盘中创建“incaseformat”文本文档。
此病毒被运行后将自身复制到C 盘,并创建开机启动项。在下次开机20s后执行文件删除。
03
病毒分析
该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:
Incasefotmat是个老病毒,各大杀毒软件均可查杀。
安全专家对病毒样本进行分析,病毒上次发作时间为1月13日,预计下次发作时间为23日。
04
防护方案
由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机:
1. 安装杀毒软件,保持杀毒软件有效运行,及时更新病毒库。
2. 不要随意下载安装未知软件,尽量从官方网站下载。
3. 严格规范U盘等移动介质的使用,使用前先进行查杀;
4. 如发现已感染主机,先断开网络,使用杀毒软件进行全盘扫描查杀,再尝试使用数据恢复类软件。
联系电话
0591-87895020
87301318
邮 箱
zhongxin@cicisp.com
微信扫一扫