记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

「紧急通告」incaseformat蠕虫国内爆发,当心文件被删除

2021-01-14 12:21

安全通告

incaseformat蠕虫病毒在国内爆发,由于其会删除系统中的文件,引起用户恐慌。亚信安全已经截获并分析了该病毒,我们发现该病毒早已被加入亚信安全病毒库,是一只“老牌”文件夹病毒,通常是通过U盘传播。亚信安全在此提醒用户,请安装杀毒软件并保持更新,随时防范病毒攻击。

病毒详细分析

此程序是用Delphi编写的,其时间戳为2007/3/3。

其会创建一个隐藏的窗口执行,具有4个定时器。

其在执行时首先将自身拷贝至%windir%/tsay.exe,然后设置自启项。

定时器1

首先枚举磁盘C~Z,当磁盘介质为可移动磁盘或硬盘时,将其加入到链表中。

之后从链表中读出满足需求的盘符,枚举其根目录所有文件夹,将文件夹隐藏后复制自身为文件夹.exe。

定时器2

获取当前时间,且仅当满足特定时间要求时才开始删除文件。

定时器3

修改注册表设置,取消显示隐藏文件与系统文件等。

定时器4

枚举所有磁盘,并在根目录下创建incaseformat.txt文件。

亚信安全产品解决方案

经过测试,亚信安全病毒码版本15.591.60(2020年1月1日发布)已经可以检测该病毒,今天的病毒码16.471.60,云病毒码版本16.471.71,全球码版本16.473.00同样支持检测。

数据恢复方案

若已经感染该病毒,请断开网络,并使用杀毒软件进行全盘查杀,尝试使用数据恢复软件对数据进行恢复。

安全建议

若发现带有文件夹图标的EXE文件,除非知道该文件的来源,否则不要打开;调整文件夹选项,将“隐藏已知文件的扩展名”选项的对勾去掉,避免被恶意文件夹图标迷惑;禁止U盘自动运行,关闭U盘自动播放;打开系统自动更新,并检测更新进行安装;请到正规网站下载程序;不要点击来源不明的邮件以及附件,邮件中包含的链接;采用高强度的密码,避免使用弱口令密码,并定期更换密码;尽量关闭不必要的端口及网络共享;请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

深信服为广大用户提供免费查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z



知识来源: https://mp.weixin.qq.com/s?__biz=MzI3NzMzNzE5Ng==&mid=2247485263&idx=1&sn=511e6abed0123b569faa069f02695f7c

阅读:6824 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“「紧急通告」incaseformat蠕虫国内爆发,当心文件被删除”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云