一、事件背景

近日，微步在线收到国内多家客户反馈办公设备被名为incaseformat蠕虫病毒感染，受害者机器中除了系统盘以外，其他文件全部被删除。

incaseformat蠕虫病毒发现至今已有十多年历史，一般通过U盘进行传播，该蠕虫病毒会遍历删除系统盘以外的文件， 并在根目录下创建名为incaseformat.log的空文件，由于病毒代码中设置变量值的错误，导致计算当前系统时间出错，所 以直到2021年1月13日才被触发。

二、威胁分析

incaseformat蠕虫病毒运行后，会首先判断是否在系统盘目录下和自身文件名，随后进行自复制和设置注册表自启动， 启动后判断自身文件路径是否为"C:\windows\tsay.exe"或者"C:\windows\ttry.exe"，当路径名为"C:\windows\ttry.exe"才会 下一步运行。

然后在主要的恶意代码中，由于调用的函数“Sysutils::DateTimeToTimeStamp”中dword_450180变量值错误设置为“5A7 5CCh（94854340ms）”，导致时间戳换算结果错误。

由于上述代码中时间换算上的错误，导致恶意代码逻辑判断出现错误，触发后续的文件删除功能。

三、手工排查方法

1. 检测是否存在以下文件 C:\Windows\tsay.exe C:\Windows\ttry.exe

2. 检测注册表路径“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOn ce”是否存在“msfsa”项。
3. 如无法确定文件是否为恶意，可提交至微步在线S沙箱。

四、解决方案

办公设备不使用U盘等移动存储工具，在必要情况下，使用前进行U盘查杀。

不随便打开共享文件，并通过正规官方渠道下载软件。

关闭文件共享目录或者设置共享目录为只读模式。

保持系统以及软件及时更新，定期排查内部系统漏洞、弱口令等。

机器中招后首先进行查杀处置，清除病毒后，可使用第三方数据恢复工具尝试进行恢复。查杀工具可使用USBCleane r(www.usbcleaner.cn)或者其他杀毒软件。

五、总结

蠕虫病毒具有传播方式多、传播范围广、传播周期长等特点，一般不具备针对特定目标性，并且无需人为干预即可进行 不断的传播。一旦被感染意味着受害者本身也是传播节点之一。大部分蠕虫病毒已有专杀工具，可使用专杀工具对病毒 进行清理。但感染蠕虫病毒可能会影响电脑使用以及数据丢失，所以预防感染蠕虫病毒还需提高自身安全意识，培养良 好的办公习惯。

23号可能会再次爆发，请大家做好终端防护，定期进行病毒查杀！

本本引用：https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=3157