incaseformat蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,引起用户恐慌,对用户造成不可挽回的损失。该病毒是一只“老牌”文件夹病毒,通常是通过U盘传播。信息化建设与管理中心特此提醒用户,请安装杀毒软件并保持更新,随时防范病毒攻击。
综合各家安全厂商的介绍,我们把病毒概况汇总如下:
此程序是用Delphi编写的,其时间戳为2007/3/3。其在执行时首先将自身拷贝至%windir%/tsay.exe,和%windir%/ttry.exe,然后设置自启项。%windir%/是指您的电脑的windows安装目录。
添加注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
增加自启动,自启动程序指向C:\windows\tsay.exe
(即:msfsaàc:\windows\tsay.exe)
同时还会复制自身到除系统分区以外所有分区的根目录下,将分区下已存在的文件夹隐藏,并且以这些文件夹的名称命名。这也是传播扩散的主要方式。
样本在特定时间条件下最终会遍历删除系统盘符外的所有文件,并且在根路径下留下incaseformat.log文件。实际上该病毒样本已经存在很久,并且发现国内一些站点也存在被感染,同时文件能够被传播下载的情形。
解决方案:
由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,信息化建设与管理中心建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机:
1、不要随意下载安装未知软件,尽量在官方网站进行下载安装;
2、尽量关闭不必要的共享,或设置共享目录为只读模式;
3、严格规范U盘等移动介质的使用,使用前先进行查杀;
4、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。以下是信息化建设与管理中心收集的相关工具:
奇安信顽固木马专杀工具FocusTool.latest.zip
深信服免费查杀工具(64位版)SfabAntiBot_X64.zip