蠕蟲(chóng)病毒incaseformat 23日還會(huì)發(fā)作 火絨安全無(wú)需升級(jí)即可查殺
今日,火絨工程師接到大量用戶求助,稱電腦中除C盤(pán)之外的其他文件都被刪除,且磁盤(pán)中可能被創(chuàng)建“incaseformat”文本文檔。經(jīng)火絨工程師查看現(xiàn)場(chǎng)后發(fā)現(xiàn),是用戶電腦感染了帶有“定時(shí)器”邏輯的蠕蟲(chóng)病毒?;鸾q用戶無(wú)需擔(dān)心,火絨安全軟件(個(gè)人版、企業(yè)版)無(wú)需升級(jí)即可對(duì)該病毒進(jìn)行攔截并查殺。
火絨工程師分析發(fā)現(xiàn),此次的病毒與常見(jiàn)的蠕蟲(chóng)病毒不同,除了具有偽裝文件夾圖標(biāo),隱藏原始文件夾的危害以外,還設(shè)置了定時(shí)刪除文件的邏輯。一旦滿足設(shè)定的時(shí)間,將會(huì)刪除用戶電腦中除C盤(pán)之外的其他盤(pán)符的所有文件,并且可能在磁盤(pán)根目錄創(chuàng)建“incaseformat.txt”文本文檔。此次有大量用戶被刪文件的原因,是因?yàn)檫@些用戶對(duì)該病毒進(jìn)行了信任,或者根本沒(méi)有安裝安全軟件。很可能該病毒已經(jīng)在用戶電腦中潛伏多年。
不僅如此,該病毒設(shè)定的刪除日期不止今天(1月13日),距離最近的下一次刪除時(shí)間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的危害。我們建議廣大用戶及時(shí)使用火絨安全軟件全盤(pán)掃描(清空信任區(qū))進(jìn)行排查。對(duì)于未安裝火絨已經(jīng)中毒的用戶,建議清空信任區(qū)后進(jìn)行全盤(pán)掃描查殺。
事實(shí)上,火絨2014年就已截獲到該病毒。因?yàn)樵摬《舅褂玫膁elphi庫(kù)中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤,最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤。也因?yàn)樯鲜鲈?,該樣本作為一個(gè)老病毒。直到2021年1月13日才觸發(fā)刪除用戶文件的代碼邏輯。
2014年火絨對(duì)該樣本的收錄和檢測(cè)
判斷系統(tǒng)時(shí)間執(zhí)行全盤(pán)文件刪除相關(guān)代碼
病毒所使用的有問(wèn)題的 DateTimeToTimeStamp 相關(guān)代碼
病毒傳播相關(guān)代碼
蠕蟲(chóng)病毒因其會(huì)偽裝成其他文件、不斷復(fù)制自身的特性,具有非常強(qiáng)的傳播性。即便被安全軟件查殺,也經(jīng)常會(huì)被用戶錯(cuò)當(dāng)成“誤殺”,進(jìn)行信任處理。也因此,蠕蟲(chóng)病毒在企業(yè)內(nèi)網(wǎng)中的活躍度一直居高不下。學(xué)校、打印店等也是蠕蟲(chóng)病毒的重災(zāi)區(qū)?;鸾q工程師再次提醒廣大用戶,若遇到安全軟件頻繁報(bào)毒的情況,很大概率就是感染了蠕蟲(chóng)病毒,應(yīng)第一時(shí)間咨詢安全廠商,不要輕易對(duì)其進(jìn)行信任。
火絨工程師分析發(fā)現(xiàn),此次的病毒與常見(jiàn)的蠕蟲(chóng)病毒不同,除了具有偽裝文件夾圖標(biāo),隱藏原始文件夾的危害以外,還設(shè)置了定時(shí)刪除文件的邏輯。一旦滿足設(shè)定的時(shí)間,將會(huì)刪除用戶電腦中除C盤(pán)之外的其他盤(pán)符的所有文件,并且可能在磁盤(pán)根目錄創(chuàng)建“incaseformat.txt”文本文檔。此次有大量用戶被刪文件的原因,是因?yàn)檫@些用戶對(duì)該病毒進(jìn)行了信任,或者根本沒(méi)有安裝安全軟件。很可能該病毒已經(jīng)在用戶電腦中潛伏多年。
不僅如此,該病毒設(shè)定的刪除日期不止今天(1月13日),距離最近的下一次刪除時(shí)間為1月23日。如果用戶電腦中還有殘留的病毒,將面臨再次被刪除的危害。我們建議廣大用戶及時(shí)使用火絨安全軟件全盤(pán)掃描(清空信任區(qū))進(jìn)行排查。對(duì)于未安裝火絨已經(jīng)中毒的用戶,建議清空信任區(qū)后進(jìn)行全盤(pán)掃描查殺。
事實(shí)上,火絨2014年就已截獲到該病毒。因?yàn)樵摬《舅褂玫膁elphi庫(kù)中的 DateTimeToTimeStamp 函數(shù)中 IMSecsPerDay 變量的值錯(cuò)誤,最終導(dǎo)致 DecodeDate 計(jì)算轉(zhuǎn)換出的系統(tǒng)當(dāng)前時(shí)間錯(cuò)誤。也因?yàn)樯鲜鲈?,該樣本作為一個(gè)老病毒。直到2021年1月13日才觸發(fā)刪除用戶文件的代碼邏輯。
2014年火絨對(duì)該樣本的收錄和檢測(cè)
判斷系統(tǒng)時(shí)間執(zhí)行全盤(pán)文件刪除相關(guān)代碼
病毒所使用的有問(wèn)題的 DateTimeToTimeStamp 相關(guān)代碼
病毒傳播相關(guān)代碼
蠕蟲(chóng)病毒因其會(huì)偽裝成其他文件、不斷復(fù)制自身的特性,具有非常強(qiáng)的傳播性。即便被安全軟件查殺,也經(jīng)常會(huì)被用戶錯(cuò)當(dāng)成“誤殺”,進(jìn)行信任處理。也因此,蠕蟲(chóng)病毒在企業(yè)內(nèi)網(wǎng)中的活躍度一直居高不下。學(xué)校、打印店等也是蠕蟲(chóng)病毒的重災(zāi)區(qū)?;鸾q工程師再次提醒廣大用戶,若遇到安全軟件頻繁報(bào)毒的情況,很大概率就是感染了蠕蟲(chóng)病毒,應(yīng)第一時(shí)間咨詢安全廠商,不要輕易對(duì)其進(jìn)行信任。