关于防范incaseformat蠕虫病毒的预警通报

时间:2021-01-14     编辑:王维喜     浏览:

近日,一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后 会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Windows目录执行,病毒进程将会遍历除系统盘外的所有磁盘文件进行删除,对用户造成不可挽回的损失。

目前,已发现国内多个区域不同行业用户遭到感染,病毒传播范围暂未见明显的针对性。

一、病毒概述

经分析,该蠕虫病毒在非Windows目录下执行时,并不会产生删除文件行为,但会将自身复制到系统盘的Windows目录下,创建RunOnce注册表值设置开机自启,且具有伪装正常文件夹行为:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa: C:\windows\tsay.exe


当蠕虫病毒在Windows目录下执行时,会再次在同目录下自复制,并修改如下注册表项调整隐藏文件:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt -> 0x1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue -> 0x0

最终遍历删除系统盘外的所有文件,在根目录留下名为incaseformat.log的空文件。

二、解决方案

由于该病毒只有在Windows目录下执行时会触发删除文件行为,重启会导致病毒在Windows目录下自启动,因此,建议广大师生在未做好安全防护及病毒查杀工作前请勿重启主机:

1.不要随意下载安装未知软件,尽量在官方网站下载安装;

2.尽量关闭不必要的共享,或设置共享目录为只读模式;

3.严格规范U盘等移动介质的使用,使用前先进行查杀;

4.对重要文件资料定期做数据备份;

5.如发现主机已被感染,应先断开网络,用火绒等查杀工具进行检测查杀,切记不要对被删除文件的分区执行写操作,以免覆盖原有数据,然后使用常见的数据恢复软件(如:FinaldatarecuvaDiskGenius等)即可恢复被删除数据,并联系网络与信息技术中心。

网络与信息技术中心

2021-1-14


南校区实训楼:020-61362224 北校区教学楼:020-36552224 北校区图文楼:020-36552225
投诉电话:020-61362225 传真:020-61362225 邮箱:wxzx@gdmec.edu.cn
copyright © 2002-2021 广东机电职业技术学院 网络与信息技术中心