火絨工程師分析發現，此次的病毒與常見的蠕蟲病毒不同，除了具有偽裝文件夾圖標，隱藏原始文件夾的危害以外，還設置了定時刪除文件的邏輯。一旦滿足設定的時間，將會刪除用戶電腦中除C盤之外的其他盤符的所有文件，并且可能在磁盤根目錄創建“incaseformat.txt”文本文檔。此次有大量用戶被刪文件的原因，是因為這些用戶對該病毒進行了信任，或者根本沒有安裝安全軟件。很可能該病毒已經在用戶電腦中潛伏多年。

2.webp.jpg

不僅如此，該病毒設定的刪除日期不止今天（1月13日），距離最近的下一次刪除時間為1月23日。如果用戶電腦中還有殘留的病毒，將面臨再次被刪除的危害。我們建議廣大用戶及時使用火絨安全軟件全盤掃描（清空信任區）進行排查。對于未安裝火絨已經中毒的用戶，建議清空信任區后進行全盤掃描查殺。

事實上，火絨2014年就已截獲到該病毒。因為該病毒所使用的delphi庫中的 DateTimeToTimeStamp 函數中 IMSecsPerDay 變量的值錯誤，最終導致 DecodeDate 計算轉換出的系統當前時間錯誤。也因為上述原因，該樣本作為一個老病毒。直到2021年1月13日才觸發刪除用戶文件的代碼邏輯。

3.webp.jpg

2014年火絨對該樣本的收錄和檢測

5.webp.jpg

判斷系統時間執行全盤文件刪除相關代碼

6.webp.jpg

病毒所使用的有問題的 DateTimeToTimeStamp 相關代碼

7.webp.jpg

病毒傳播相關代碼

蠕蟲病毒因其會偽裝成其他文件、不斷復制自身的特性，具有非常強的傳播性。即便被安全軟件查殺，也經常會被用戶錯當成“誤殺”，進行信任處理。也因此，蠕蟲病毒在企業內網中的活躍度一直居高不下。學校、打印店等也是蠕蟲病毒的重災區�；鸾q工程師再次提醒廣大用戶，若遇到安全軟件頻繁報毒的情況，很大概率就是感染了蠕蟲病毒，應第一時間咨詢安全廠商，不要輕易對其進行信任。

附錄：

火絨彈窗攔截產品授權書--四川（政府、企業、教育）特約代理商.jpg