病毒说明:
国内多个区域行业出现且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。
病毒分析:
该病毒最早出现时间为 2009 年,主流杀毒软件厂商均将此病毒命 名为 Worm.Win32.Autorun,从名称可以判断该病毒为 Windows 平台通过移动介质传播的蠕 虫病毒。 病毒文件运行后,首先复制自身到 Windows 目录下(C:\windows\tsay.exe),文件图标 伪装为文件夹。
同时修改注册表键值实现自启动,涉及注册表项为: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
病毒文件将在主机重启后运行,并开始遍历所有非系统分区下目录并设置为隐藏,同时