【快訊】

1月13日， incaseformat病毒在全網集中爆發，中毒使用者C盤以外所有檔案被刪除。火絨工程師在該事件首次報告的逆向分析中，推測病毒程式製作存在錯誤，導致其爆發時間推遲到今年1月13日。而同行廠商也在後續報告中表明一致觀點。但是，透過火絨威脅情報系統以及樣本分析，火絨工程師再次對病毒深度溯源發現，該病毒蟄伏至今才爆發，或為攻擊者的精心策劃。

根據火絨工程師分析，該病毒存在至少兩個變種。推測第一個變種為原作者所做的原始病毒，最早可追溯至2009年，其爆發時間為2010年4月1日。從僅一年的潛藏時間和選擇的爆發日期（愚人節）來看，不排除是原作者測試病毒的可能性。第二個則為駭客篡改後的變種，最早可追溯至2014年，並被設定在2021年1月13日爆發。

對比兩個變種病毒可以發現，兩者在核心程式碼邏輯中僅有一處資料被篡改。這種篡改的方式極其細微隱蔽，更像是精心策劃，目的或是為了引導病毒分析人員誤以為病毒程式出現bug，增加潛伏的機會，以便繼續擴散危害。

圖：兩個變種病毒出現與爆發時間點

同時，透過深度溯源可以發現，在此前關於該病毒事件的眾多分析報告中，不同廠商對該病毒的追溯日期偏差（包括2009年、2014年等）實際上源自對該病毒兩個不同變種的混淆。實際上，火絨基於自主反病毒引擎，能夠同時查殺兩個變種的全部樣本。

被篡改的病毒利用檔名獲得使用者信任躲避查殺，加上超長潛伏期的傳播積累，導致感染量持續增長，並於在今年1月13日突然大範圍爆發，達到了嚴重程度。而根據“火絨終端威脅情報系統”監測，也證實在2020年5月以後，被篡改的病毒樣本的傳播量有顯著上升趨勢。

一個隱藏七年的老病毒，在攻擊者預期的時間裡集中爆發，並企圖隱瞞、誤導對其追溯分析的病毒分析人員，這也給廣大安全從業者敲響警鐘，在與病毒、駭客的對抗中，需要更加嚴謹和全面，才能給使用者提供可靠的保障。