1月13日晚,360、深信服等安全公司发布紧急预警,称检测到incaseformat蠕虫病毒大规模爆发,磁盘数据已被删除许多公司。该蠕虫主要通过U盘传播,感染用户机器后,会自我复制并通过U盘感染其他计算机。病毒启动后,会自动复制到C:WINDOWStsay.exe,并在电脑重启后20秒内删除用户数据。据安全监测机构预测,incaseformat蠕虫病毒可能在1月23日再次爆发,建议用户提前做好数据丢失防范。蠕虫大规模爆发,开机20秒内用户文件被删除。安全监测机构分析发现,该蠕虫通过DeleteFileA和RemoveDirectory代码删除了计算机中的文件。该病毒还可以自动复制到C:WINDOWStsay.exe创建启动项然后退出。电脑重启后,会在开机20秒内删除用户文件。据了解,这并不是该蠕虫第一次爆发,??类似事件早在2014年就发生过。目前国内多个地区不同行业的用户均已受到该蠕虫的影响,但目前还未完全恢复。找出病毒在传播方面有什么样的针对性。该病毒只在Windows目录中运行。据深信服安全研究团队介绍,该蠕虫只有在Windows目录下执行时才会触发文件删除。当在非Windows目录下执行时,病毒会自动复制到系统盘的Windows目录下,创建一个RunOnce注册表值设置自动启动,并伪装成一个普通文件。当蠕虫在Windows目录下执行时,会在同一目录下再次自我复制,并修改以下注册表项来调整隐藏文件:遍历并删除系统盘以外的所有文件后,蠕虫会在根目录名为incaseformat.log的空文件:专家发布安全建议:incaseformat蠕虫大规模爆发后,多家安全机构紧急发布病毒扫描版本,支持计算机病毒检测。安全专家建议,如果电脑已经感染病毒,应立即断开网络连接,并使用杀毒软件进行全面查杀,并尽量使用数据恢复软件进行数据恢复。安全建议:不要打开来历不明的文件;不要从非官方网站下载和安装软件;不要选择“隐藏已知文件的扩展名”;禁用U盘自动运行;使用高强度密码并定期更换;注意备份重要文件。
