四川合美软件信息技术有限公司

18628058435 

首页 >> 公司新闻 >> 蠕虫病毒“incaseformat”23日还会发作 火绒无需升级即可查杀
蠕虫病毒“incaseformat”23日还会发作 火绒无需升级即可查杀
时间:2021-01-14   作者:hemeisoftware 【转载】   来自于:火绒安全企业版   阅读


蠕虫病毒“incaseformat”23日还会发作 火绒无需升级即可查杀


今日,火绒工程师接到大量用户求助,称电脑中除C盘之外的其他文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经火绒工程师查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。火绒用户无需担心,火绒安全软件(个人版、企业版)无需升级即可对该病毒进行拦截并查杀。


1.webp.jpg



火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。一旦满足设定的时间,将会删除用户电脑中除C盘之外的其他盘符的所有文件,并且可能在磁盘根目录创建“incaseformat.txt”文本文档。此次有大量用户被删文件的原因,是因为这些用户对该病毒进行了信任,或者根本没有安装安全软件。很可能该病毒已经在用户电脑中潜伏多年。

 

2.webp.jpg



 

不仅如此,该病毒设定的删除日期不止今天(1月13日),距离最近的下一次删除时间为1月23日。如果用户电脑中还有残留的病毒,将面临再次被删除的危害。我们建议广大用户及时使用火绒安全软件全盘扫描(清空信任区)进行排查。对于未安装火绒已经中毒的用户,建议清空信任区后进行全盘扫描查杀。

 

事实上,火绒2014年就已截获到该病毒。因为该病毒所使用的delphi库中的 DateTimeToTimeStamp 函数中 IMSecsPerDay 变量的值错误,最终导致 DecodeDate 计算转换出的系统当前时间错误。也因为上述原因,该样本作为一个老病毒。直到2021年1月13日才触发删除用户文件的代码逻辑。

 


 

3.webp.jpg


2014年火绒对该样本的收录和检测

5.webp.jpg

判断系统时间执行全盘文件删除相关代码

6.webp.jpg

病毒所使用的有问题的 DateTimeToTimeStamp 相关代码

 

7.webp.jpg

病毒传播相关代码


蠕虫病毒因其会伪装成其他文件、不断复制自身的特性,具有非常强的传播性。即便被安全软件查杀,也经常会被用户错当成“误杀”,进行信任处理。也因此,蠕虫病毒在企业内网中的活跃度一直居高不下。学校、打印店等也是蠕虫病毒的重灾区。火绒工程师再次提醒广大用户,若遇到安全软件频繁报毒的情况,很大概率就是感染了蠕虫病毒,应第一时间咨询安全厂商,不要轻易对其进行信任。

 

附录:

火绒弹窗拦截产品授权书--四川(政府、企业、教育)特约代理商.jpg

微信截图_20210114123949.png

四川省成都市武侯区武青南路51号(四川省科技企业孵化器)三号楼四层A419  


18628058435、15208225990 


关于我们

服务项目

解决方案

新闻动态

官方微信

2779523183@qq.com


   中央政府采购网     四川政府采购网     成都市公共资源交易服务中心     四川省电化教育馆      四川教育装备网      四川省教育资源公共服务平台     全国企业信用信息公示系统      南部人    成都南部商会

   

   重庆蒙以教育科技有限公司  系统之家  孙悟空     

普通版     触屏版    电脑版    微信版   


技术支持:四川合美软件信息技术有限公司


[网站备案号:蜀ICP备17002904号-2] hemeisoftware.com.cn 


版权所有  2014-2020  四川合美软件信息技术有限公司  保留一切权利 

 成都市武侯区武科西一路18号创意园3号楼4层A419