360：近期蠕虫病毒大范围爆发，中毒重启 20 秒后狂删电脑文件

显示全部楼层 · 发表于 2021-1-13 20:43:37

1 月 13 日晚间消息，360 公司今日表示，近期检测到蠕虫病毒 incaseformat 大范围爆发，病毒感染用户机器后会通过 U 盘自我复制感染到其他电脑，导致电脑中磁盘文件被删除，给用户造成极大损失。

360 安全大脑发现，用户电脑中毒后，病毒文件通过 DeleteFileA 和 RemoveDirectory 代码实施了删除文件和目录的行为。

此病毒启动后将自身复制到 C：\WINDOWS\tsay.exe 并创建启动项退出，等待重启运行，下次开机启动后约 20s 就开始删除用户文件。

显示全部楼层 · 发表于 2021-1-13 21:08:23

360能防住不

显示全部楼层 · 发表于 2021-1-13 21:12:12

有样本？大概搜了下至少9年前就有这个病毒了嘛

显示全部楼层 · 发表于 2021-1-13 21:35:54

没找到解决方法

显示全部楼层 · 发表于 2021-1-13 21:36:34

user用户表示毫无压力，它无法将自身复制到windows目录，除非利用了提权漏洞

显示全部楼层 · 发表于 2021-1-14 08:27:27

经分析，该蠕虫病毒在非Windows目录下执行时，并不会产生删除文件行为，但会将自身复制到系统盘的Windows目录下，创建RunOnce注册表值设置开机自启，且具有伪装正常文件夹行为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

值: C:\windows\tsay.exe

当蠕虫病毒在Windows目录下执行时，会再次在同目录下自复制，并修改如下注册表项调整隐藏文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件，在根目录留下名为incaseformat.log的空文件

显示全部楼层 · 发表于 2021-1-14 08:28:51

病毒样本区有无样本？或者谁给一个MD5

显示全部楼层 · 发表于 2021-1-14 08:38:36

还是XP上的？

显示全部楼层 · 发表于 2021-1-14 10:01:53

截图这是用虚拟机XP系统测试么

[安全行业] 360：近期蠕虫病毒大范围爆发，中毒重启 20 秒后狂删电脑文件