-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18636小时
-
- 发帖786303
- 搜Ta的帖子
- 精华0
- 飞翔币211574
- 威望215717
- 飞扬币2615486
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786303
- 飞翔币
- 211574
- 威望
- 215717
- 飞扬币
- 2615486
- 信誉值
- 8
|
被“incaseformat”蠕虫病毒删除文件?不要慌,X讯iOA、御点、管家都能杀,文件也能恢复[size=; font-size: 24.5pt,24.5pt] 有网友反应遭遇“incaseformat”病毒攻击,硬盘除 C 盘外,其他分区文件被删除,仅保留 一个名为“incaseformat.log”的 0 字节文件。X讯安全专家分析后发现,这是一个很古老的 蠕虫病毒。X讯 iOA、X讯御点、X讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文 件恢复的概率也较高。[size=; font-size: 3.5pt,3.5pt] 图 1[size=; font-size: 9.5pt,9.5pt]该病毒在非 Windows 目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自 启动,拷贝自身到 windows目录下(C:Windowstsay.exe、C:Windowsttry.exe),同时设 置注册表 runonce的 msfsa 项。[size=; font-size: 2pt,2pt] [size=; font-size: 5pt,5pt]图 2当病毒在 windows 目录下(C:Windowstsay.exe、C:Windowsttry.exe)运行时,会修改注 册表不显示隐藏属性的文件,最后会遍历磁盘,删除所有除系统盘之外的文件,只在硬盘根目 录留下名为 incaseformat.log的空文件。[size=; font-size: 3.5pt,3.5pt] 图 3[size=; font-size: 9.5pt,9.5pt]该病毒出现很早,同源变种样本也有数百个之多。X讯零信任无边界访问控制系统(iOA)、 X讯御点、X讯电脑管家及其他主流杀毒软件均可查杀。用户只要开启杀毒软件的实时防护即 可有效防御。当病毒改写注册表的启动项时,安全软件也会报警。X讯安全专家表示,因该病毒采用文件夹的图标,会使一部分用户误认为是正常软件,而将杀毒软件的防护功能关闭,或者将病毒添加到信任白名单里,最终在这些用户的系统上会造成病 毒发作文件被删除。 [size=; font-size: 7pt,7pt]由于病毒代码设置变量值的错误,导致病毒计算当前系统时间出错,因而在 2021 年 1 月 13日触发删除文件等操作(下一次发作是 1 月 23 日)。之所以用户电脑的安全软件未作出响应,可能是用户错误地将病毒文件添加为信任白名单所致。 [size=; font-size: 7pt,7pt]X讯安全建议用户勿轻易判定安全软件的警告为误报,勿轻易将可疑文件添加到信任白名单, 可避免受害。如果已有用户不幸中招,可以在清除病毒之后,使用文件恢复工具将被删除的文 件还原,只要用户未做较多的文件覆盖操作,恢复成功的概率较大(SSD硬盘例外,因存储机 制不同,删除后难以恢复。)[size=; font-size: 2pt,2pt] 图 4[size=; font-size: 13.5pt,13.5pt]IOCs[size=; font-size: 12pt,12pt] [size=; font-size: 12pt,12pt]MD5[size=; font-size: 12pt,12pt](部分同源样本)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
|
