病毒查杀 HKEY_CURRENT_USERSoftware病毒集中爆发注册表项调整隐藏文件:HKEY_CURRENT__病毒安全_

最近，Sangfor的安全团队检测到一种名为incaseformat的病毒，该incaseformat病毒删除的文件的用户已经出现在全国各地。

经过调查，在正常情况下，该蠕虫的行为类似于文件夹蠕虫。执行后，它将复制到系统磁盘的Windows目录并创建一个注册表以自动启动。用户重新启动主机后，病毒矩阵将从Windows目录执行。该过程将遍历除系统磁盘以外的所有磁盘文件以进行删除，从而给用户造成不可挽回的损失。该病毒于1月13日集中爆发是由于病毒代码中的内置特殊日期所致。匹配相应的日期后，将触发蠕虫的文件删除功能。爆发蠕虫事件的用户的感染时间应该早于1月13日。根据分析和推测，下次触发文件删除的时间大约是2021年1月23日和2021年2月4日。因此，Sangfor提供免费的防病毒工具incaseformat，可帮助用户检测和消除incaseformat。

可以理解，当蠕虫在非Windows目录中执行时，它不会删除文件，而是将自身复制到系统磁盘的Windows目录中，创建RunOnce注册表值并将其设置为在启动后自动启动。正在启动，并且具有伪装正常文件夹的行为：

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ msfsa

值：C：\ windows \ tsay.exe

在Windows目录中执行该蠕虫时，它将再次在同一目录中进行自我复制，并修改以册表项以调整隐藏文件：

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ HideFileExt-> 0x1

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ checkedvalue-> 0x0

最后遍历并删除系统磁盘之外的所有文件，在根目录中保留一个名为incaseformat.log的空文件。

情况似乎很简单，但是令人费解的是蠕虫如何传播？为什么要关注爆发？

Sangfor安全专家对病毒文件和威胁情报进行了详细分析后，发现了新发现。该蠕虫是用Delphi语言编写的，于2009年首次出现。此后的每一年，用户都在Internet上发布以寻找该病毒的解决方案。

在正常情况下，该病毒表现为文件夹蠕虫。与其他文件夹蠕虫一样，它通过文件共享或移动设备传播，并在共享目录或移动设备路径下隐藏普通文件夹。 ，伪装成文件夹。

但是，与其他文件夹蠕虫不同，incaseformat蠕虫在代码中内置了“定时”。该蠕虫将获取被感染主机的当前时间。获得时间后，程序将按照指定的时间进行。为了进行比较，当条件为：

年份> 2009年，月份> 3，日期= 1或日期= 10或日期= 21或日期= 29

2009年之后，每次大于3月的第1、10、21和29日都会触发文件删除。

然后通过DecodeDate函数分割日期。令人惊讶的是，程序中的Delphi库中可能存在错误，并且DateTimeToTimeStamp用于计算的变量异常：

结果是，转换的时间与实际的主机时间不匹配，因此实际的触发时间与程序设置条件不同（2010年愚人节的原始开始时间错误地转换为1月13日， 2021.该病毒爆发可能是愚人节的笑话）：

分析师计算，文件删除操作的后续触发日期为2021年1月23日和2月4日：

由于文件夹蠕虫感染不会给主机带来明显的损失，因此大多数用户会疏忽大意。文件蠕虫主要通过文件共享和移动设备传播。一旦被感染，它很容易传播到企业内部网。很多次爆发的宿主可能很久以前就已被感染。也有一些宿主感染了该病毒。用户可能会在2021年1月23日和2月4日删除其数据。

在这方面，Sangfor的安全团队还向大多数用户提出了针对该蠕虫的预防性建议：

如果主机没有被感染（其他磁盘文件尚未删除）：

1、不要随意重启主机，首先使用安全软件检查并杀死整个磁盘，然后打开实时监视和其他保护功能；

2、不要随意下载并安装未知软件，请尝试在官方网站上下载并安装它；

3、尝试关闭不必要的共享或将共享目录设置为只读模式； Sangfor安全团队提到，Sangfor EDR用户可以使用微隔离功能直接阻止共享端口；

4、严格规范U盘等可移动媒体的使用，并在使用前检查并杀死它们；

5、备份重要数据；

如果主机已被感染（其他磁盘文件已被删除），则：

1、使用安全软件执行全面扫描并清除病毒残留；

2、您可以尝试使用数据恢复工具进行恢复，在恢复之前，请尽量不要占用已删除文件磁盘的空间，因为病毒删除文件操作不会直接覆盖和擦除磁盘上的数据，仍有一定机会可以恢复；

Sangfor还为用户提供免费的检测和查杀工具，可以通过与Sangfor员工联系来获取。

同时，建议Sangfor安全意识平台，下一代防火墙和EDR用户及时升级到最新版本，连接到安全云大脑，并使用云检查服务来检测和防御新威胁。及时

最后，我还要再次提醒用户，安全性不是小事，必须采取重要的数据备份和主机安全保护措施，以防止出现问题！

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-348331-1.html