打开微信扫一扫
各单位:
根据网络安全机构监测,发现近期蠕虫病毒 Incaseformat 呈现爆发趋势,感染该病毒的计算机面临存储文件被删除风险,请各单位做好办公电脑和和人电脑的病毒预防工作,进行必要的杀毒和文件备份,如需现教中心技术支持可拨打值班电话 13604530741 。
现代教育技术中心
2021 年 1 月 18 日
病毒名称为 Worm/Win32.Autorun ,病毒运行后会释放 tsay.exe 到 Windows 目录下( C:windowstsay.exe ),并且通过修改注册表键值以实现自启动。创建注册表键值如下:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa
Value: String: "C:windowstsay.exe"
随后结束自身进程。系统重新启动后,衍生文件开始执行,具体行为包括删除非系统磁盘的文件,并创建文件大小为 0Kb ,文件名为 incaseformat.log 的文件。同时复制病毒自身到 D 盘,并将病毒文件名重命名为删除的文件夹名。例如: D 盘存在 Program Files 文件夹,病毒名则为 Program Files.exe 。
文件删除操作虽原定于 2010 年 4 月 1 日,但于 2021 年 1 月 13 日才成功执行。这种病毒主要通过 U 盘进行传播,在缺少有效安全防护软件的政企机构网络中往往反复传播感染。
< 预防措施 >
各类杀毒软件均可对此病毒进行查杀,也可使用专杀工具进行查杀。
Incaseformat 蠕虫专杀工具免费下载链接:
https://dl.qianxin.com/skylar6/FocusTool.latest.zip
还请养成备份重要文件的习惯,可使用我校网盘来备份重要文件,网盘地址: http://pan.mdjnu.edu.cn/