蠕虫病毒“incaseformat”23日还会发作 火绒无需升级即可查杀
source link: https://zhuanlan.zhihu.com/p/344064665
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
今日,火绒工程师接到大量用户求助,称电脑中除C盘之外的其他文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经火绒工程师查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。火绒用户无需担心,火绒安全软件(个人版、企业版)无需升级即可对该病毒进行拦截并查杀。
火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。
不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。我们建议广大用户及时使用火绒安全软件全盘扫描(清空信任区)进行排查。对于未安装火绒已经中毒的用户,建议清空信任区后进行全盘扫描查杀。
事实上,火绒2014年就已截获到该病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒。直到2021年1月13日才触发删除用户文件的代码逻辑。
2014年火绒对该样本的收录和检测
判断系统时间执行全盘文件删除相关代码
病毒所使用的有问题的 DateTimeToTimeStamp 相关代码
病毒传播相关代码
蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。火绒工程师再次提醒广大用户,若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,应第一时间咨询安全厂商,不要轻易对其进行信任。
附录:
补充资料:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK