这是一个创建于 1805 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://www.sohu.com/a/444507332_100059676
---
然而,与其他文件夹蠕虫不同的是,incaseformat 蠕虫病毒在代码中内置了一颗“定时炸弹”,蠕虫会获取受感染主机的当前时间,获取到时间后,程序与指定的时间进行了比对,当条件为:
年份>2009,月份>3,日期=1 或日期=10 或日期=21 或日期=29
即 2009 年后,每个大于 3 月的 1 号、10 号、21 号和 29 号时会触发删除文件操作。
然后通过 DecodeDate 函数拆分日期,奇妙的是,该程序中的 Delphi 库可能出现了错误,DateTimeToTimeStamp 用于计算的一个变量发生异常:
导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本 2010 年愚人节的启动时间,错误转换成了 2021 年 1 月 13 日,本次病毒爆发可能是迟到的愚人节玩笑):
----
这是要 10 年前就中了而且还在用的电脑。
作者估计本来是想在愚人节的时候闹一下,也没想因为一个 BUG,这款病毒在 12 年后会在全国爆发,引起这么大的动静,估计昨天作者看到了各大安全厂商的报道,才知道自己的“作品”受到了这么大的“欢迎”,也许这位作者已经成为了”某个安全厂商“的安全”砖”家。
---
然而,与其他文件夹蠕虫不同的是,incaseformat 蠕虫病毒在代码中内置了一颗“定时炸弹”,蠕虫会获取受感染主机的当前时间,获取到时间后,程序与指定的时间进行了比对,当条件为:
年份>2009,月份>3,日期=1 或日期=10 或日期=21 或日期=29
即 2009 年后,每个大于 3 月的 1 号、10 号、21 号和 29 号时会触发删除文件操作。
然后通过 DecodeDate 函数拆分日期,奇妙的是,该程序中的 Delphi 库可能出现了错误,DateTimeToTimeStamp 用于计算的一个变量发生异常:
导致转换后的时间与真实的主机时间并不相符,因此真实触发时间与程序设定条件不相同(原本 2010 年愚人节的启动时间,错误转换成了 2021 年 1 月 13 日,本次病毒爆发可能是迟到的愚人节玩笑):
----
这是要 10 年前就中了而且还在用的电脑。
作者估计本来是想在愚人节的时候闹一下,也没想因为一个 BUG,这款病毒在 12 年后会在全国爆发,引起这么大的动静,估计昨天作者看到了各大安全厂商的报道,才知道自己的“作品”受到了这么大的“欢迎”,也许这位作者已经成为了”某个安全厂商“的安全”砖”家。
 | 1 festoney8 2021-01-14 20:59:24 +08:00  8 二话不说直接清盘,不勒索不弹窗不烦人,是上古病毒的味道了 |
 | 2 Novichok 2021-01-14 22:44:02 +08:00 话说出来,就不受你控制了;病毒写出来,也会失控 |
 | 3 Phariel 2021-01-14 23:45:32 +08:00 via iPhone 1 就喜欢像 CIH 这种破坏软硬件短平快的态度 现在各种我秦始皇打钱各种墨迹 没劲 |
 | 4 Greatshu 2021-01-14 23:58:23 +08:00 估计这次 incaseformat 受害者中有“我从来不装杀毒软件,也没有中病毒”类人群。 |
 | 5 14ccc 2021-01-15 00:09:31 +08:00 控台有没有见过,酒吧里控制灯的控台,这次好多都中招了。控台软件其实就是装在 win 里的,直接中招,根本没法防 |
 | 7 jy02201949 2021-01-15 09:15:25 +08:00 银行、运营商可能会有这样的设备,我到客户机房就见过一台联想万全服务器还服务的,上面装的 win server 2003,里面东西太老当初弄的人也离职了,现在没人会维护,就让它一直在那跑了,估计哪天客户领导觉得性能跟不上或者有新需求才会更换吧  |
 | 8 no1xsyzy 2021-01-15 09:29:08 +08:00 可是应当已经爆发过? “该蠕虫病毒由 Delphi 语言编写,最早出现于 2009 年,此后每年都有用户在网络上发帖求助该病毒的解决方案。” 猜测是不是复制自己的时候发生了变异(这可太病毒了 充分说明需要 ECC 、以及不在 ECC 机器上构造可执行文件时需要 WET 并相互对照校验(双螺旋冗余) (胡言乱语 |
 | 9 mostkia 2021-01-15 09:35:19 +08:00 @Novichok 也是能控制的,取决于作者是不是想,因为这也可能成为病毒的一个软肋。就像之前的勒索病毒,原代码里发现了一段代码,会不断检测一个超级长的域名(几乎没有可能被无意注册的那种),如果被注册能访问了,就判断是创造者的终止命令,病毒会自我销毁终止破坏。 |
 | 12 CloseToWheat 2021-01-15 09:45:20 +08:00 也就是说得 10 年不换电脑才能中吧 |
 | 13 JakeTan 2021-01-15 11:04:42 +08:00 杀毒者投毒 |
 | 14 Eytoyes 2021-01-15 14:18:25 +08:00 机房里还有一台 771 服务器,做域控的,硬盘爆过三次黄灯,都挺下来了,这年代感 |
 | 15 sasalemma 2021-01-15 15:04:18 +08:00 @jy02201949 百毒旗下那些签约的广告本地拓展的外包公司,就像挂名碧桂园的建筑公司一样的那种,上面还是跑着 2003+一万个站点的那种,能用就用,能打开的绝对不换配置。 |
 | 16 Cloutain 2021-01-15 15:37:21 +08:00 那个年代用 Delphi 写马很常见,参考灰鸽子。Delphi 辉煌不再,哎 |
Select Language