0x01 背景

1月13日，360安全大腦檢測到蠕蟲病毒incaseformat大範圍爆發並進行了預警，此次病毒爆發涉及政府、醫療、教育、運營商等多個行業，該病毒在感染使用者機器後會透過隨身碟自我複製感染到其他電腦，最終導致電腦中非系統分割槽的磁碟檔案被刪除，給使用者造成極大損失。由於被刪除檔案分割槽根目錄下均存在名為incaseformat.log的空檔案，因此網路上將此病毒命名為incaseformat。

Incaseformat蠕蟲病毒爆發後，部分安全廠商對incaseformat病毒的傳播途徑及安全評估進行了誤判，錯誤評估該蠕蟲病毒不具有網路傳播性，因此360對該蠕蟲的真實網路傳播風險進行分析通告，希望各行業使用者能夠正確認識該蠕蟲病毒的安全風險，有效防禦此類蠕蟲病毒的攻擊。

經360安全大腦的全網遙測分析研判發現，該蠕蟲病毒預設透過隨身碟等儲存裝置、網路檔案共享的本地檔案傳播方式以外，還有一部分經由網路進行傳播。

由於該蠕蟲病毒帶有破壞性質的傳播方法，汙染了大量使用者的私有資料資料資料夾，導致病毒被使用者誤打包為ZIP、RAR等壓縮包檔案，透過郵件附件、網盤共享和IM通訊軟體等渠道對該病毒進行了各種形式的二次網路傳播。傳播方式佔比情況如下：

incaseformat蠕蟲病毒預設具有“潛伏發作”的特性，每隔20秒檢測一次當前的時間，如果當年大於2009年，月份大於3月，日期為1號、10號、21號、29號時，病毒便會刪除磁碟檔案。

該蠕蟲家族的部分病毒潛伏時間存在異常情況，由於時間戳轉換函式的變數值被進行了人為篡改，在程式計算時間的程式碼中，用於表示一天的毫秒數的變數值與實際不符（正確的值為0x5265C00，程式中的值為0x5A75CC4），從而導致病毒一直處於潛伏狀態，直至延期到2021年1月13日發作。

該蠕蟲病毒傳播方式十分狡猾，在進行自我複製時，會將儲存裝置根目錄下的正常目錄隱藏，將自身複製為正常目錄名的EXE可執行檔案，同時EXE檔案字尾名也設定為隱藏，最終將自身偽裝為資料夾。這種破壞性的傳播方式導致使用者大量私有檔案資料被悄悄替換，在無防備情況下誤打包或被汙染進行了二次網路傳播。

1、主機排查

2、隨身碟等儲存裝置排查

3.使用安全軟體排查

360安全大腦的安全分析響應平臺透過網路流量檢測、多感測器資料融合關聯分析手段，對該類漏洞的利用進行實時檢測和阻斷，請使用者聯絡相關產品區域負責人或(shaoyulong#360.cn)獲取對應產品。

針對本次安全事件，使用者可以透過安裝360安全衛士並進行全盤防毒來維護計算機安全。360CERT建議廣大使用者使用360安全衛士定期對裝置進行安全檢測，以做好資產自查以及防護工作。

針對本次安全事件，使用者可以透過安裝360安全衛士並進行全盤防毒來維護計算機安全。360CERT建議廣大使用者使用360安全衛士定期對裝置進行安全檢測，以做好資產自查以及防護工作。

注: INCASEFORMAT蠕蟲同源樣本量巨大，更多情報請諮詢360情報雲（ti.360.cn）。

 static void php_disable_functions(void){    char *s = NULL, *e;    if (!*(INI_STR("disable_functions"))) {        return;    }    e = PG(disable_functions) = strdup(INI_STR("disable_functions"));    if (e == NULL) {        return;    }    while (*e) {        switch (*e) {            case ' ':            case ',':                if (s) {                    *e = '\0';                    zend_disable_function(s, e-s);                    s = NULL;                }                break;            default:                if (!s) {                    s = e;                }                break;        }        e++;    }    if (s) {        zend_disable_function(s, e-s);    }}

YARA

rule incaseformat{    meta:        description = "description"        author = "author"        date = "2021-01-15"        reference = "reference"        hash = "4b982fe1558576b420589faa9d55e81a"    strings:        $string1 = "C:\\windows\\ttry.exe"        $string2 = "C:\\windows\\tsay.exe"        $string3 = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce"        $timestamp = {c4 5c a7 05}    condition:        uint16(0) == 0x5a4d and all of them}