【转载】蠕虫病毒 incaseformat 在国内肆虐,可导致用户数据丢失
本文转载自 云头条
2021年1月13日,深信服、360、火绒安全实验室等国内安全公司对外发布预警,称一种名为incaseformat的蠕虫病毒在国内爆发。
今早某公司电脑中毒以后的情况:
深信服称,该蠕虫病毒早在2014年就已经爆发。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。
该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。
目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。
- 病毒名称:incaseformat
- 病毒性质:蠕虫病毒
- 影响范围:多省市多行业发现感染案例,有规模爆发趋势
- 危害等级:高危,可导致用户数据丢失
病毒描述
经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件:
此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。
不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。建议广大用户及时全盘扫描(清空信任区)进行排查。
2014年火绒对该样本的收录和检测
判断系统时间执行全盘文件删除相关代码
病毒所使用的有问题的 DateTimeToTimeStamp 相关代码
病毒传播相关代码
【转载】蠕虫病毒 incaseformat 在国内肆虐,可导致用户数据丢失相关推荐
- 蠕虫病毒 incaseformat 在国内肆虐,可导致用户数据丢失
本文转载自 云头条 2021年1月13日,深信服.360.火绒安全实验室等国内安全公司对外发布预警,称一种名为incaseformat的蠕虫病毒在国内爆发. 今早某公司电脑中毒以后的情况: 深信服称, ...
- 中国重大计算机病毒事件,新型电脑病毒INCASEFORMAT在国内大面积爆发,重要通知,重要事情说三遍,备份、备份、备份!...
紧急通知!!!今日新型电脑病毒INCASEFORMAT在国内大面积爆发,感染现象为除C盘外,其他盘全部被格式化,造成数据大量丢失.信息丢失.请各位老师提前做好数据隔离备份避免造成数据丢失. 账套备份你 ...
- 【安全资讯】incaseformat蠕虫病毒大爆发!20s删除用户文件
作者|潇冷 来源|比特网 发布时间|2021-01-21 1 月 13 日晚,360.深信服等安全公司发布了紧急预警,称监测到蠕虫病毒 incaseformat 大范围爆发,已有多家公司发生磁盘数据被 ...
- 突发!incaseformat蠕虫病毒来袭,警惕文件遭删除
今日,邦润科技安全团队监测到一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Window ...
- 服务器system文件缺失,incaseformat蠕虫病毒爆发,警惕文件丢失!
又一波电脑病毒来袭! 一种名为incaseformat的蠕虫病毒在国内爆发, 该蠕虫病毒主要通过U盘感染传播,运行后会检测自身执行路径,复制到系统盘Windows目录下,并将其他磁盘的文件进行遍历删除 ...
- Incaseformat 蠕虫病毒威胁通告
报告编号:B6-2021-011401 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-14 0x01事件简述 2021年01月13日,360安全卫士发布了Incasef ...
- incaseformat蠕虫病毒爆发,深信达助力安全防护
根据最新公布的消息,大量用户计算机感染一种名为incasefrmat的计算机蠕虫病毒,该病毒会自动复制到windows目录中并添加注册表,使计算机在重新启动时自动运行该程序,将自动遍历所有盘符并删除除 ...
- 国内突然爆发暴力蠕虫病毒!已有大量用户中招:所有文件被删
1月13日,不少关于计算机安全厂商和相关论坛都发布了一则紧急公告. 公告显示:最近,一种名叫"incaseformat"的蠕虫病毒正在国内肆意传播,造成了大范围影响. 据查询到的信 ...
- 如何使用计算机蠕虫病毒软件,incaseformat蠕虫病毒是什么?电脑若中病毒后如何修复。...
原标题:incaseformat蠕虫病毒是什么?电脑若中病毒后如何修复. 昨天开始 国内各家安全大厂都发出预警 提醒电脑用户"incaseformat"蠕虫病毒 已再度开始发作 什 ...
最新文章
- matlab中real函数,Matlab中del2()函数学习笔记
- linux磁盘 分区 物理卷 卷组 逻辑卷 文件系统加载点操作案例
- HALCON示例程序autobahn高速公路车道识别程序剖析
- 等待ajax,等待Ajax调用(post)完成
- UVAPOJ离散概率与数学期望入门练习[4]
- selenium 定位方式4-xpath
- 信息发布系统 Jquery+MVC架构开发(6)BLL层提供WCF 服务 .
- tensorflow之FIFOQueue
- javascript 自建立对象
- iOS-集成支付宝支付、微信支付简单总结
- 【图像检测】基于区域生长算法实现对焊接孔隙检测matlab代码
- 数字IC四大岗位分析
- android studio中的apk位置
- Blender 置换生成地形模型
- 突然远程桌面连接不上
- python中setup是什么意思_python中setuptools指的是什么
- JS 怎么使用十六进制保存100位状态的问题
- STM32H743开发板移植micropython并外扩32M的SQPI flash和32M的SDRAM
- java法师逃离_本性法师:逃离复杂 奔向简单的人生
- 我的世界java版怎么找史莱姆区块_我的世界手机版史莱姆区块查找的两种方法...