从业界相识到,该病毒最早泛起时间为2009年,主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun(业界称为“incaseformat”病毒),从名称可以判断该病毒为Windows平台通过移动介质撒播的蠕虫病毒。
病毒文件运行后,首先复制自身到Windows目录下(C:\windows\tsay.exe),文件图标伪装为文件夹。
同时修改注册表键值实现自启动,涉及注册表项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
病毒文件将在盘算机启动后 20s 最先删除用户文件。并最先遍历所有非系统分区下目录并设置为隐藏,同时建设同名的病毒文件。
别的病毒还会通过修改注册表,实现不显示隐藏文件及隐藏已知文件类型扩展名,涉及的注册表项包括:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue
最后,病毒对非系统分区下所有文件执行删除操作,并建设incaseformat.log文件。
熏染剖析
该病毒会恶意删除用户磁盘文件,加上病毒自己只能通过U盘等移动介质举行撒播,并无相关网络撒播特征,对用户的盘算机数据造成极大威胁。
此次在海内多个行业泛起大规模熏染事务,推测可能与相关应用系统的供应链或厂商运维有关,详细撒播途径还需做进一步溯源剖析。
解决计划
可接纳55世纪网络准入控制系统,不但可以对网络界线举行清静管控,还可以联动主流杀毒软件厂商(例如:江民杀毒、亚信TDA、360杀毒)实现病毒终端的定位,和实时隔离阻断,避免进一步扩散,高效把控网络清静。
克日,新冠病毒进一步生长,海内病例日益增多,政府起劲招呼各人做好疫情提防步伐。
在此,55世纪网络准入控制系统紧跟国家脚步,联动主流病毒厂商,进一步做好网络病毒提防事情,包管各地用户网络清静!