2021年1月13日，安天关心到一些 *** 媒体中有客户遭受文档被病毒删掉状况，联络获取样版后，发觉系很早以前能够杀毒的“历史悠久”蠕虫大家族，但由于领域和群众对于此事事情比较关心，安天出示以下剖析：

该病毒大家族别名incaseformat，是一个比较历史悠久的USB蠕虫大家族，安天依据这一类病毒的散播原理，将其系列产品变异均统一归于Worm/Win32.Autorun。对有关蠕虫大家族，安天商品多年前就可以防御力杀毒。

具体情况是，有关蠕虫最近散播感柒仍未产生猛增。因为一部分税企组织和普通用户长期性处在裸跑情况，或未安裝具备合理能力的 *** 安全产品，使这一“历史悠久”蠕虫长期性内寄生而无法及时处理，而因为该蠕虫含有删除文件夹的逻辑性**，创作者预置2010年4月1日为初次发病时间，可是因为函数参数不正确，造成 2021年1月13日变成了初次发病时间，因此这种感柒的客户因文档被删掉而认知到这一蠕虫的存有。它是今天该病毒变成聚焦点的重要缘故。

安天认知管理体系捕捉该蠕虫的最开始大家族版本为2009年，该大家族存有数以百计版本的迭代更新演变，在其中有的版本作用为掩藏客户固态盘外的绝大多数文档。此次发觉的蠕虫病毒版本往往会在2021年1月13日逐渐删除文件夹，是因为时间函数变量类型存有撰写不正确，实行删除文件夹的实际操作由2010年4月1日延到2021年1月13日， *** 攻击本意为在2010年3月后每个月的2号、16号、24号、29号后逐渐文件删除实际操作。这类关键根据U盘开展散播的病毒，在缺乏合理安全性安全软件的税企组织互联网中通常不断散播感柒。而根据布署合理节点安全防护能力的主防商品能够非常容易认知和阻拦。针对遭受病毒早已发病的状况，安天也提示客户也有挽救的空间，安天CERT经检测发觉该蠕虫病毒删掉的文档可由数据修复手机软件开展修复。

生产商的不断威协捕捉能力，基本模块检验能力和主防能力是合理节点防御力的基础。沒有这种基础的支撑点的商品，乃至没法根据抵抗老旧病毒的试练。

表 2?1 样版孕妈

表 2?2 衍化文档

样版孕妈剖析

样版孕妈运作后会释放出来tsay.exe到Windows文件目录下（C:\\windows say.exe），而且根据修改注册表键值以完成开机启动。建立注册表文件键值以下：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\msfsa

Value: String: "C:\\windows say.exe"

接着完毕本身过程。

2.2.2衍化文档剖析

系统软件重启后，衍化文档逐渐实行，实际个人行为包含删掉非系统软件硬盘的文档，并建立图片大小为0K，文件夹名称为incaseformat.log的文档。

图 2?1 创建文件incaseformat.log

另外拷贝病毒本身到D盘，并将病毒文件夹名称重新命名为删掉的文件夹名称名。比如：D盘存有Program Files文件夹名称，病毒名则为Program Files.exe。

图 2-2 删除文件夹实际操作

该衍化文档应用了Delphi库文件的DateTimeToTimeStamp涵数，该涵数中的自变量IMSecsPerDay一切正常应是0x5264C00，可是被不正确的写成0x5A75C**。故文件删除实际操作虽预计于2010年4月1日，但于2021年1月13日才取得成功实行。

图 2-3 样版中不正确的涵数自变量

注：病毒原逻辑性为：year>2009&&month>3&&(day==1||day==10||day==21||day==29)

故本需从2010年逐渐，每一年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会实行一次删掉实际操作。

依据不正确自变量IMSecsPerDay开展测算，预估该病毒将来删除文件夹实际操作時间以下：

表 2?3 样版具体删除文件夹時间

1. 完毕下述过程

tsay.exe、ttry.exe

2. 删掉下述文档

C:\\windows say.exe

C:\\Windows try.exe

3. 删掉下述注册表项中的名叫“msfsa”的键值

HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce