13號爆發的電腦病毒incaseformat是人為策劃嗎？

你好，軟件與信息服務專業的學長為你解答。

首先，通過對incaseformat病毒的溯源，我們發現之前分析報告中推測的該病毒之所以潛伏數年并在2021年1月13日觸發刪除文件的攻擊邏輯，或并非bug導致，而是攻擊者精心設計。

其次，通過對火絨捕獲的incaseformat病毒同源樣本進行梳理，我們發現該病毒至少有兩個變種在野。

其中一個變種最早可以追溯到2009年，該病毒變種會在2010年4月1日觸發刪除文件邏輯，而另一個變種，目前可追溯的出現時間為2014年，該變種為黑客在原始變種基礎上通過人為篡改得到，該變種通過人為篡改推遲了攻擊邏輯，可在時隔7年后的2021年1月13日觸發攻擊邏輯，由于被篡改后的病毒樣本在之后一直處于潛伏狀態，且不易被用戶發現，導致該病毒大肆傳播，并在2021年1月13日集中“發作”造成了大范圍不良影響。

第三，通過對火絨捕獲的全部incaseformat同源樣本進行梳理，我們發現被篡改樣本的數量遠大于原始樣本數量，兩者相差將近79倍。

即在野傳播的該蠕蟲病毒樣本中，有接近99%的樣本均為被篡改后樣本。

第四，通過排除被感染型病毒感染或帶有感染型殘留數據等無效樣本情況后，我們發現被篡改的病毒樣本數量從2014年開始整體呈波動上升趨勢且于2020年5月開始出現“井噴”式增長。該病毒數量增長趨勢與其潛伏期長、集中“發作”、破壞性強等特性，使得此次事件受波及用戶廣，且用戶感知強烈。

第五，通過二進制對比兩個病毒變種，發現在核心代碼邏輯中僅有一處數據被篡改且極有可能是直接通過二進制的方式進行修改。篡改的位置為Sysutils::DateTimeToTimeStamp庫函數所使用的全局變量IMSecsPerDay（一天的總毫秒數），從而影響最終觸發刪除文件邏輯的時間點。

我們在分析病毒樣本時，通常會信任庫函數代碼，而把注意力集中在用戶代碼上，運行時，庫函數篡改很容易被我們忽視，從而掩飾病毒的真正意圖。

具體如下圖：