安全通告
incaseformat蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。威尼斯432888cam已经截获并分析了该病毒,威尼斯432888cam发现该病毒早已被加入威尼斯432888cam病毒库,是一只“老牌”文件夹病毒,通常是通过U盘传播。威尼斯432888cam在此提醒用户,请安装杀毒软件并保持更新,随时防范病毒攻击。
病毒详细分析
此程序是用Delphi编写的,其时间戳为2007/3/3。
其会创建一个隐藏的窗口执行,具有4个定时器。
其在执行时首先将自身拷贝至%windir%/tsay.exe,然后设置自启项。
定时器1
首先枚举磁盘C~Z,当磁盘介质为可移动磁盘或硬盘时,将其加入到链表中。
之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。
定时器2
获取当前时间,且仅当满足特定时间要求时才开始删除文件。
定时器3
修改注册表设置,取消显示隐藏文件与系统文件等。
定时器4
枚举所有磁盘,并在根目录下创建incaseformat.txt文件。
威尼斯432888cam产品解决方案
经过测试,威尼斯432888cam病毒码版本15.591.60(2020年1月1日发布)已经可以检测该病毒,今天的病毒码16.471.60,云病毒码版本16.471.71,全球码版本16.473.00同样支持检测。
数据恢复方案
若已经感染该病毒,请断开网络,并使用杀毒软件进行全盘查杀,尝试使用数据恢复软件对数据进行恢复。
安全建议
若发现带有文件夹图标的EXE文件,除非知道该文件的来源,否则不要打开;
调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;
禁止U盘自动运行,关闭U盘自动播放;
打开系统自动更新,并检测更新进行安装;
请到正规网站下载程序;
不要点击来源不明的邮件以及附件,邮件中包含的链接;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口及网络共享;
请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
IOCs