incaseformat蠕虫病毒来袭，警惕文件遭删除

2021-1-14 10:34| 投稿: xiaotiger |来自: 互联网

免责声明：本站系公益性非盈利IT技术普及网，本文由投稿者转载自互联网的公开文章，文末均已注明出处，其内容和图片版权归原网站或作者所有，文中所述不代表本站观点，若有无意侵权或转载不当之处请从网站右下角联系我们处理，谢谢合作！

摘要: 深信服安全团队监测到一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统 ...

深信服安全团队监测到一种名为incaseformat的蠕虫病毒在国内爆发，该蠕虫病毒执行后会自复制到系统盘Windows目录下，并创建注册表自启动，一旦用户重启主机，使得病毒母体从Windows目录执行，病毒进程将会遍历除系统盘外的所有磁盘文件进行删除，对用户造成不可挽回的损失。

　　目前，已发现国内多个区域不同行业用户遭到感染，病毒传播范围暂未见明显的针对性。

　　病毒描述

　　经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

　　值： C:\windows\tsay.exe

　　当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

　　最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件：

　　解决方案

　　由于该病毒只有在Windows目录下执行时会触发删除文件行为，重启会导致病毒在Windows目录下自启动，因此，深信服安全团队建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机：

　　64位系统下载链接：

　　http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

　　32位系统下载链接：

　　http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

　　与此同时，深信服安全感知平台、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁。

　　咨询与服务

　　您可以通过以下方式联系我们，获取关于incaseformat的免费咨询及支持服务：

　　1）拨打电话400-005-5530专线

　　2）关注【深信服技术服务】微信公众号，选择“智能服务”菜单，进行咨询

　　3）PC端访问深信服区

　　bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

Tag标签: 病毒 Windows 目录蠕虫用户文件系统 incaseformat 安全盘外

小编推荐：欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术，请点击这里注册账号，公开课频道价值万元IT培训教程免费学，让您少走弯路、事半功倍，好工作升职加薪！

本文出自：http://www.ctiforum.com/news/guonei/582273.html

免责声明：本站系公益性非盈利IT技术普及网，本文由投稿者转载自互联网的公开文章，文末均已注明出处，其内容和图片版权归原网站或作者所有，文中所述不代表本站观点，若有无意侵权或转载不当之处请从网站右下角联系我们处理，谢谢合作！

上一篇：黑客锁定制造业发动目标式勒索和DDoS攻击，成为新常态下一篇：追根溯源：incaseformat病毒数年蛰伏或源于精心策划