最近删除了大量的用户文件是来自一种名为incaseformat的病毒。 此病毒的主要感染方式是将自己伪装成文件目录,并在用户双击时实际启动了病毒文件。 病毒文件隐藏在受害者主机中,等待指定的时机删除用户文件。 实际上,该病毒可能在2009年以前就存在了,但由于作者使用的delphi库计算时间函数有误,最近发作了。 该病毒可能长期伴随感染者。
当此病毒运行时,它将自身复制到下一个路径
c :windowstsay.exec :windowsttry.exe
用注册表的变更设定接通电源,自动启动
软件 Microsoftwindowscurrent versionrunonce
此外,还可以更改系统设置,以防止用户显示隐藏目录和扩展名
然后感染文件夹,通过将狸变成太子来隐藏所有文件夹,并复制自身以匹配目录名称。 后缀为. exe。
另外,在指定时间删除c驱动器以外的磁盘的文件和目录。
病毒创建者可能在2010年4月以后触发了文件删除。 但是,病毒使用的delphi库似乎在时间计算上存在错误,所以最近触发了。
最近病毒又复发,下一次发作时间为1月23日。