安全資訊

今日，火絨工程師接到大量用戶(hù)求助，稱(chēng)電腦中除C盤(pán)之外的其他文件都被刪除，且磁盤(pán)中可能被創(chuàng )建“incaseformat”文本文檔。經(jīng)火絨工程師查看現場(chǎng)后發(fā)現，是用戶(hù)電腦感染了帶有“定時(shí)器”邏輯的蠕蟲(chóng)病毒?；鸾q用戶(hù)無(wú)需擔心，火絨安全軟件（個(gè)人版、企業(yè)版）無(wú)需升級即可對該病毒進(jìn)行攔截并查殺。

火絨工程師分析發(fā)現，此次的病毒與常見(jiàn)的蠕蟲(chóng)病毒不同，除了具有偽裝文件夾圖標，隱藏原始文件夾的危害以外，還設置了定時(shí)刪除文件的邏輯。一旦滿(mǎn)足設定的時(shí)間，將會(huì )刪除用戶(hù)電腦中除C盤(pán)之外的其他盤(pán)符的所有文件，并且可能在磁盤(pán)根目錄創(chuàng )建“incaseformat.txt”文本文檔。此次有大量用戶(hù)被刪文件的原因，是因為這些用戶(hù)對該病毒進(jìn)行了信任，或者根本沒(méi)有安裝安全軟件。很可能該病毒已經(jīng)在用戶(hù)電腦中潛伏多年。

不僅如此，該病毒設定的刪除日期不止今天（1月13日），距離最近的下一次刪除時(shí)間為1月23日。如果用戶(hù)電腦中還有殘留的病毒，將面臨再次被刪除的危害。我們建議廣大用戶(hù)及時(shí)使用火絨安全軟件全盤(pán)掃描（清空信任區）進(jìn)行排查。對于未安裝火絨已經(jīng)中毒的用戶(hù)，建議清空信任區后進(jìn)行全盤(pán)掃描查殺。

事實(shí)上，火絨2014年就已截獲到該病毒。因為該病毒所使用的delphi庫中的 DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤，最終導致 DecodeDate 計算轉換出的系統當前時(shí)間錯誤。也因為上述原因，該樣本作為一個(gè)老病毒。直到2021年1月13日才觸發(fā)刪除用戶(hù)文件的代碼邏輯。

2014年火絨對該樣本的收錄和檢測

判斷系統時(shí)間執行全盤(pán)文件刪除相關(guān)代碼

病毒所使用的有問(wèn)題的 DateTimeToTimeStamp 相關(guān)代碼

病毒傳播相關(guān)代碼

蠕蟲(chóng)病毒因其會(huì )偽裝成其他文件、不斷復制自身的特性，具有非常強的傳播性。即便被安全軟件查殺，也經(jīng)常會(huì )被用戶(hù)錯當成“誤殺”，進(jìn)行信任處理。也因此，蠕蟲(chóng)病毒在企業(yè)內網(wǎng)中的活躍度一直居高不下。學(xué)校、打印店等也是蠕蟲(chóng)病毒的重災區?；鸾q工程師再次提醒廣大用戶(hù)，若遇到安全軟件頻繁報毒的情況，很大概率就是感染了蠕蟲(chóng)病毒，應第一時(shí)間咨詢(xún)安全廠(chǎng)商，不要輕易對其進(jìn)行信任。