注意防范incaseformat蠕虫

发布者:许洸彧发布时间:2021-01-14浏览次数:3251

incaseformat蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,引起用户恐慌,对用户造成不可挽回的损失。该病毒是一只“老牌”文件夹病毒,通常是通过U盘传播。信息化建设与管理中心特此提醒用户,请安装杀毒软件并保持更新,随时防范病毒攻击。

综合各家安全厂商的介绍,我们把病毒概况汇总如下:

此程序是用Delphi编写的,其时间戳为2007/3/3。其在执行时首先将自身拷贝至%windir%/tsay.exe,和%windir%/ttry.exe,然后设置自启项。%windir%/是指您的电脑的windows安装目录。

添加注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

增加自启动,自启动程序指向C:\windows\tsay.exe

(即:msfsaàc:\windows\tsay.exe

同时还会复制自身到除系统分区以外所有分区的根目录下,将分区下已存在的文件夹隐藏,并且以这些文件夹的名称命名。这也是传播扩散的主要方式。

样本在特定时间条件下最终会遍历删除系统盘符外的所有文件,并且在根路径下留下incaseformat.log文件。实际上该病毒样本已经存在很久,并且发现国内一些站点也存在被感染,同时文件能够被传播下载的情形。

 

解决方案:

由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,信息化建设与管理中心建议广大用户在未做好安全防护及病毒查杀工作前请勿重启主机:

1、不要随意下载安装未知软件,尽量在官方网站进行下载安装;

2、尽量关闭不必要的共享,或设置共享目录为只读模式;

3、严格规范U盘等移动介质的使用,使用前先进行查杀;

4、如发现已感染主机,先断开网络,使用安全产品进行全盘扫描查杀再尝试使用数据恢复类软件。以下是信息化建设与管理中心收集的相关工具:

奇安信顽固木马专杀工具FocusTool.latest.zip

深信服免费查杀工具(64位版)SfabAntiBot_X64.zip


联系我们GET HELP

服务热线:65880000(内线80000)

办公地点:

天赐庄校区:东校区教育超市北

独墅湖校区:独墅湖一期304号楼5楼

阳澄湖校区:行政楼401房间

未来校区:未来校区教学中心628办公室

办公时间:

周一至周五(8:00—12:00,13:30—17:00)

周末及节假日(8:30—11:30,14:00—17:00,仅天赐庄校区)