当前位置:萝卜系统下载站 > 电脑学习教程 > 详细页面

病毒查杀 深信服蠕虫病毒集中爆发专家提醒:注册表项调整隐藏文件_病毒安全_

病毒查杀 深信服蠕虫病毒集中爆发专家提醒:注册表项调整隐藏文件_病毒安全_

更新时间:2023-07-24 文章作者:未知 信息来源:网络 阅读次数:

随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

最近,Sangfor的安全团队检测到一种名为incaseformat的病毒,该incaseformat病毒删除的文件的用户已经出现在全国各地。

经过调查,在正常情况下,该蠕虫的行为类似于文件夹蠕虫。执行后,它将复制到系统磁盘的Windows目录并创建一个注册表以自动启动。用户重新启动主机后,病毒矩阵将从Windows目录执行。该过程将遍历除系统磁盘以外的所有磁盘文件以进行删除,从而给用户造成不可挽回的损失。该病毒于1月13日集中爆发是由于病毒代码中的内置特殊日期所致。匹配相应的日期后,将触发蠕虫的文件删除功能。爆发蠕虫事件的用户的感染时间应早于1月13日。根据分析和推测,下次文件删除将在2021年1月23日和2021年2月4日触发。因此,Sangfor提供了免费的防病毒软件。 Incaseformat工具,可帮助用户检测并消除Incaseformat。

可以理解,当蠕虫在非Windows目录中执行时,它不会删除文件,而是将自身复制到系统磁盘的Windows目录中,创建RunOnce注册表值并将其设置为在启动后自动启动。正在启动,并且具有伪装正常文件夹的行为:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ msfsa

值:C:\ windows \ tsay.exe

病毒查杀

在Windows目录中执行该蠕虫时,它将再次在同一目录中进行自我复制,并修改以册表项以调整隐藏文件:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ HideFileExt-> 0x1

病毒查杀_查杀u盘病毒_u盘病毒查杀

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ checkedvalue-> 0x0

最后遍历并删除系统磁盘之外的所有文件,在根目录中保留一个名为incaseformat.log的空文件。

这种情况看似简单,但令人困惑的是蠕虫如何传播?为什么会集中爆发?

Sangfor安全专家对病毒文件和威胁情报进行了详细分析后,发现了新发现。该蠕虫是用Delphi语言编写的,于2009年首次出现。从那以后,用户每年都在Internet上发布该病毒的解决方案。

病毒查杀

在正常情况下,该病毒表现为文件夹蠕虫。与其他文件夹蠕虫一样,它通过文件共享或移动设备传播,并在共享目录或移动设备路径下隐藏普通文件夹。 ,伪装成文件夹。

但是,与其他文件夹蠕虫不同,incaseformat蠕虫在代码中内置了“定时”。该蠕虫将获取被感染主机的当前时间。获取时间后,程序将按照指定的时间进行。为了进行比较,当条件为:

年份> 2009年,月份> 3,日期= 1或日期= 10或日期= 21或日期= 29

查杀u盘病毒_u盘病毒查杀_病毒查杀

2009年之后,每次大于3月的第1、10、21和29日都会触发文件删除操作。

然后通过DecodeDate函数分割日期。令人惊讶的是,程序中的Delphi库中可能存在错误,并且用于计算DateTimeToTimeStamp的变量异常:

病毒查杀

因此,转换后的时间与实际的主机时间不匹配,因此实际的触发时间与程序设置条件不同(2010年愚人节的原始开始时间错误地转换为2021年1月13日。该病毒爆发可能是愚人节的笑话):

病毒查杀

分析师计算出,随后的文件删除操作将在2021年1月23日和2月4日触发:

病毒查杀

由于文件夹蠕虫感染不会给主机带来明显的损失,因此大多数用户会疏忽大意。文件蠕虫主要通过文件共享和移动设备传播。一旦被感染,它很容易传播到企业内部网。很多次爆发的宿主可能很久以前就已被感染。也有一些主机已经感染了该病毒。用户可能会在2021年1月23日和2月4日删除其数据。

u盘病毒查杀_病毒查杀_查杀u盘病毒

在这方面,Sangfor的安全团队还向大多数用户提出了针对该蠕虫的预防建议:

如果主机没有被感染(其他磁盘文件尚未删除):

1、不要随意重启主机,首先使用安全软件检查并杀死整个磁盘,然后打开诸如实时监视之类的保护功能;

2、不要随意下载并安装未知软件,请尝试在官方网站上下载并安装它;

3、尝试关闭不必要的共享或将共享目录设置为只读模式; Sangfor安全团队提到,Sangfor EDR用户可以使用微隔离功能直接阻止共享端口;

4、严格规范U盘等可移动媒体的使用,并在使用前检查并杀死它们;

5、备份重要数据;

如果主机已被感染(其他磁盘文件已被删除),则:

u盘病毒查杀_查杀u盘病毒_病毒查杀

1、使用安全软件执行全面扫描并清除病毒残留;

2、您可以尝试使用数据恢复工具进行恢复,在恢复之前,请尽量不要占用已删除文件磁盘的空间,因为病毒删除文件操作不会直接覆盖和擦除磁盘上的数据,仍有一定机会可以恢复;

Sangfor还为大多数用户提供免费的防病毒工具。您可以下载以下工具进行检测和防病毒:

用于64位系统的下载链接:

32位系统下载链接:

同时,建议Sangfor安全意识平台,下一代防火墙和EDR用户及时升级到最新版本,连接到安全云大脑,并使用云检查服务来检测和防御新威胁。及时

病毒查杀

最后,我还要再次提醒用户,安全性不是小事,重要的数据必须备份。对于尚未部署备份解决方案的用户,Sangfor的企业级多合一备份可以帮助用户预防问题的发生,并保护数据安全的“最后防线”!


本文来自本站,转载请注明本文网址:
http://www.pc-fly.com/a/shouji/article-348333-1.html


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

温馨提示:喜欢本站的话,请收藏一下本站!

本类教程下载

系统下载排行

网站地图xml | 网站地图html