incaseformat 病毒分析

  • A+
所属分类:安全文章

近日,大量用户文件被删除,源于一个叫做incaseformat的病毒,此病毒的主要传播方式是将自身伪装成文件目录,当用户双击时实际上是启动了病毒文件。病毒文件会隐匿在受害者主机中潜伏着,等待指定的时机对用户文件进行删除。实际上此病毒可能在2009年以前就已经存在,但由于编写者所使用的delphi库计算时间的函数有错误,导致近期才发作。此病毒可能已经伴随着受感染者很长一段时间。

 

此病毒运行后会将自身复制到以下路径

C:\windows\tsay.exe

C:\windows\ttry.exe

 

并且通过注册表修改设置开机自启动

SOFTWAREMicrosoftWindowsCurrentVersionRunOnce

 

incaseformat 病毒分析

incaseformat 病毒分析

并且修改系统设置使得用户无法查看到隐藏目录,以及文件后缀名

incaseformat 病毒分析

随后感染文件夹,,并且使用狸猫换太子的方式将文件夹全部隐藏,并且将自身拷贝到与目录名称一致,后缀为.exe

 

incaseformat 病毒分析


 

并且在指定的时间删除掉除C盘以外,其他盘的文件与目录。

 

incaseformat 病毒分析


病毒制作者本意可能是20104月份后触发删除文件。但是似乎病毒所使用的delphi库对时间计算有误,所以在近期才触发。

 

incaseformat 病毒分析


近期病毒还会再次发作,下一次发作时间为123日。

 

incaseformat 病毒分析


    目前团队已经写出了一款针对于incaseformat 病毒的查杀工具,可以后台输入关键字“incaseformat病毒”进行获取链接(工具没有后门。有部分自用库。)

本文始发于微信公众号(锋刃科技):incaseformat 病毒分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: