近日，深信服安全團隊監測到一種名為incaseformat病毒，全國各個區域都出現了被incaseformat病毒刪除文件的用戶。經調查，該蠕蟲正常情況下表現為文件夾蠕蟲，集中爆發是由于病毒代碼中內置了部分特殊日期，在匹配到對應日期后會觸發蠕蟲的刪除文件功能，爆發該蠕蟲事件的用戶感染時間應該早于1月13號，根據分析推測，下次觸發刪除文件行為的時間約為2021年1月23日和2月4日。

該蠕蟲病毒運行后會檢測自身執行路徑，如在windows目錄下則會將其他磁盤的文件進行遍歷刪除，并留下一個名為incaseformat.log的空文件：

如當前執行路徑不在windows目錄，則自復制在系統盤的windows目錄下，并創建RunOnce注冊表值設置開機自啟：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa 

值: C:\windows\tsay.exe

情況看似簡單，但令人不解的是，該蠕蟲是通過什么方式進行傳播的呢?又為何會集中爆發?

經過安全專家對病毒文件和威脅情報的詳細分析，有了新的發現。該蠕蟲病毒由Delphi語言編寫，最早出現于2009年，此后每年都有用戶在網絡上發帖求助該病毒的解決方案解決方案：

正常情況下，該病毒表現為一種文件夾蠕蟲，和其他文件夾蠕蟲病毒一樣，通過文件共享或移動設備進行傳播，并會在共享目錄或移動設備路徑下將正常的文件夾隱藏，自己則偽裝成文件夾的樣子。

然而，與其他文件夾蠕蟲不同的是，incaseformat蠕蟲病毒在代碼中內置了一個“定時條件”，蠕蟲會獲取受感染主機的當前時間，然后通過EncodeDate和EncodeTime函數進行聚合：

獲取到時間后，程序與指定的時間進行了比對，觸發文件刪除的條件為：

年份>2009，月份>3，日期=1 或 日期=10 或 日期=21 或 日期=29 

自2009年起，每年4月后的1號、10號、21號和29號會觸發刪除文件操作：

然后通過DecodeDate函數拆分日期，奇妙的是，該程序中的Delphi庫可能出現了錯誤，導致轉換后的時間與真實的主機時間并不相符，因此真實觸發時間與程序設定條件不相同(原本2010年4月1日愚人節啟動時間，錯誤轉換成為2021年1月13日)：

分析人員計算隨后會觸發刪除文件操作的日期為，2021年1月23和2月4號：

深入分析發現，導致病毒計算日期發生錯誤的原因是由于DecodeDate中，DateTimeToTimeStamp用于計算的一個變量發生異常：

由于文件夾蠕蟲感染后沒有給主機帶來明顯的損失，大多數用戶都會疏于防范，且文件蠕蟲主要通過文件共享和移動設備傳播，一旦感染后容易快速蔓延內網，很多此次爆發現象的主機可能在很早前就已經感染。

對此，針對該蠕蟲病毒向廣大用戶提出防范建議：

若未出現感染現象(其他磁盤文件還未被刪除)：

• 勿隨意重啟主機，先使用安全軟件進行全盤查殺，并開啟實時監控等防護功能;
• 不要隨意下載安裝未知軟件，盡量在官方網站進行下載安裝;
• 盡量關閉不必要的共享，或設置共享目錄為只讀模式;深信服EDR用戶可使用微隔離功能封堵共享端口;
• 嚴格規范U盤等移動介質的使用，使用前先進行查殺;

若已出現感染現象(其他磁盤文件已被刪除)：

• 使用安全軟件進行全盤查殺，清除病毒殘留;
• 可嘗試使用數據恢復類工具進行恢復，恢復前盡量不要占用被刪文件磁盤的空間，由于病毒操作的文件刪除并沒有直接從磁盤覆蓋和抹去數據，可能仍有一定幾率進行恢復;

我們為廣大用戶提供免費查殺工具，可下載如下工具，進行檢測查殺：

• 64位系統下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
• 32位系統下載鏈接：http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

最后，也再次提醒廣大用戶，安全無小事，一定要做好重要數據備份，以及主機安全防護措施，才能防患于未然!