1月13日，一些网络论坛中有用户遭遇文件被病毒删除现象，通过对相关事件进行分析，发现该病毒为一古老蠕虫样本。该病毒主要通过U盘进行传播，在数年前就已经可以被各大杀毒厂商进行查杀。

病毒详情

该病毒家族俗名incaseformat，属于USB蠕虫家族，实际上，相关蠕虫近期传播感染并未发生激增。由于部分政企机构和个人用户长期处于裸奔状态，或未安装具有有效能力的安全产品，使这一“古老”蠕虫长期寄生而未能及时发现，而由于该蠕虫带有删除文件的逻辑炸弹，作者预设2010年4月1日为首次发作日期，但是由于作者的编码错误，导致2021年1月13日成为了首次发作日期，所以这些感染的用户因文件被删除而感知到了这一蠕虫的存在，这是今日该病毒成为焦点的关键原因。

病毒分析

样本母体运行后会释放tsay.exe到Windows目录下（C:\windows\tsay.exe），并且通过修改注册表键值以实现自启动。创建注册表键值如下，随后结束自身进程。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

Value: String: "C:\windows\tsay.exe"

系统重新启动后，衍生文件开始执行，具体行为包括删除非系统磁盘的文件，并创建文件大小为0K，文件名为incaseformat.log的文件。

同时复制病毒自身到D盘，并将病毒文件名重命名为删除的文件夹名。例如：D盘存在Program Files文件夹，病毒名则为Program Files.exe。

该衍生文件使用了Delphi库中的DateTimeToTimeStamp函数，该函数中的变量IMSecsPerDay正常应为0x5265C00，但是被错误的写为0x5A75CC4。故文件删除操作虽原定于2010年4月1日，但于2021年1月13日才成功执行。

注：病毒原逻辑为：year>2009&&month>3&&(day==1||day==10||day==21||day==29)

故本应从2010年开始，每年的4、5、6、7、8、9、10、11、12月份的1、10、21、29号会执行一次删除操作。

根据错误变量IMSecsPerDay进行计算，预计该病毒未来删除文件操作时间如下：

处置建议：

1.结束下列进程

tsay.exe、ttry.exe

2.删除下列文件

C:\windows\tsay.exe

C:\Windows\ttry.exe

3.删除下列注册表项中的名为“msfsa”的键值

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

4.安装杀毒软件并进行全盘扫描，安天，腾讯电脑管家，360，火绒等均可查杀该样本。