近日,大量用户文件被删除,源于一个叫做incaseformat的病毒,此病毒的主要传播方式是将自身伪装成文件目录,当用户双击时实际上是启动了病毒文件。病毒文件会隐匿在受害者主机中潜伏着,等待指定的时机对用户文件进行删除。实际上此病毒可能在2009年以前就已经存在,但由于编写者所使用的delphi库计算时间的函数有错误,导致近期才发作。此病毒可能已经伴随着受感染者很长一段时间。
此病毒运行后会将自身复制到以下路径
C:\windows\tsay.exe
C:\windows\ttry.exe
并且通过注册表修改设置开机自启动
SOFTWAREMicrosoftWindowsCurrentVersionRunOnce
并且修改系统设置使得用户无法查看到隐藏目录,以及文件后缀名
随后感染文件夹,,并且使用狸猫换太子的方式将文件夹全部隐藏,并且将自身拷贝到与目录名称一致,后缀为.exe。
并且在指定的时间删除掉除C盘以外,其他盘的文件与目录。
病毒制作者本意可能是2010年4月份后触发删除文件。但是似乎病毒所使用的delphi库对时间计算有误,所以在近期才触发。
近期病毒还会再次发作,下一次发作时间为1月23日。
目前团队已经写出了一款针对于incaseformat 病毒的查杀工具,可以后台输入关键字“incaseformat病毒”进行获取链接(工具没有后门。有部分自用库。)
本文始发于微信公众号(锋刃科技):incaseformat 病毒分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论