关于做好蠕虫病毒Incaseformat防护的风险提示

各单位：

根据网络安全机构监测，发现近期蠕虫病毒Incaseformat呈现爆发趋势，感染该病毒的计算机面临存储文件被删除风险，请各单位做好办公电脑和和人电脑的病毒预防工作，进行必要的杀毒和文件备份，如需现教中心技术支持可拨打值班电话13604530741。

现代教育技术中心

2021年1月18日

Increaseformat病毒风险描述及预防措施

病毒名称为Worm/Win32.Autorun，病毒运行后会释放tsay.exe到Windows目录下（C:windowstsay.exe），并且通过修改注册表键值以实现自启动。创建注册表键值如下：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOncemsfsa

Value: String: "C:windowstsay.exe"

随后结束自身进程。系统重新启动后，衍生文件开始执行，具体行为包括删除非系统磁盘的文件，并创建文件大小为0Kb，文件名为incaseformat.log的文件。同时复制病毒自身到D盘，并将病毒文件名重命名为删除的文件夹名。例如：D盘存在Program Files文件夹，病毒名则为Program Files.exe。

文件删除操作虽原定于2010年4月1日，但于2021年1月13日才成功执行。这种病毒主要通过U盘进行传播，在缺少有效安全防护软件的政企机构网络中往往反复传播感染。

<预防措施>

各类杀毒软件均可对此病毒进行查杀，也可使用专杀工具进行查杀。

Incaseformat蠕虫专杀工具免费下载链接：

https://dl.qianxin.com/skylar6/FocusTool.latest.zip

还请养成备份重要文件的习惯，可使用我校网盘来备份重要文件，网盘地址：http://pan.mdjnu.edu.cn/