1月13日,一種名爲incaseformat的蠕蟲病毒在國內爆發, 該蠕蟲病毒執行後會自複製到系統盤Windows目錄下,並創建註冊表自啓動,一旦用戶重啓主機,使得病毒母體從Windows目錄執行,病毒進程將會遍歷除系統盤外的所有磁盤文件進行刪除,對用戶造成不可挽回的損失。
目前,已發現國內多個區域不同行業用戶遭到感染,病毒傳播範圍暫未見明顯的針對性。
病毒名稱:incaseformat
病毒性質:蠕蟲病毒
影響範圍:多省市多行業發現感染案例,有規模爆發趨勢
危害等級:高危,可導致用戶數據丟失
病毒描述
經分析,該蠕蟲病毒在非Windows目錄下執行時,並不會產生刪除文件行爲,但會將自身複製到系統盤的Windows目錄下,創建RunOnce註冊表值設置開機自啓,且具有僞裝正常文件夾行爲:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
值: C:\windows\tsay.exe
當蠕蟲病毒在Windows目錄下執行時,會再次在同目錄下自複製,並修改如下注冊表項調整隱藏文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0
最終遍歷刪除系統盤外的所有文件,在根目錄留下名爲incaseformat.log的空文件:
解決方案
由於該病毒只有在Windows目錄下執行時會觸發刪除文件行爲,重啓會導致病毒在Windows目錄下自啓動,因此,深信服安全團隊建議廣大用戶在未做好安全防護及病毒查殺工作前 請勿重啓主機:
1、 不要隨意下載安裝未知軟件,儘量在官方網站進行下載安裝;
2、儘量關閉不必要的共享,或設置共享目錄爲只讀模式;
3、 嚴格規範U盤等移動介質的使用,使用前先進行查殺;
4、 如發現已感染主機,先斷開網絡,使用安全產品進行全盤掃描查殺再嘗試使用數據恢復類軟件。
對於不幸中病毒的用戶,可聯繫我們獲取服務支持,作爲專業IT運維服務商,我們以服務用戶爲根本,爲用戶打造更加貼心、完善的服務。