各单位:

根据网络安全机构监测，发现近期蠕虫病毒Incaseformat呈现爆发趋势，感染该病毒的计算机面临存储文件被删除风险,请及时做好病毒预防，病毒描述及预防措施如下：

一、 风险描述

病毒名称为Worm/Win32.Autorun，病毒运行后会释放tsay.exe到Windows目录下(C: \windowsltsay.exe)，并且通过修改注册表键值以实现自启动。创建注册表键值如下:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

Value: String:"C:windows\tsay.exe”

随后结束自身进程。系统重新启动后﹐衍生文件开始执行,具体行为包括删除非系统磁盘的文件，并创建文件大小为0K，文件名为incaseformat.1og的文件。同时复制病毒自身到D盘,并将病毒文件名重命名为删除的文件夹名。例如:D盘存在Program Fi1es文件夹，病毒名则为Program Fi1es.exe。

文件删除操作虽原定于2010年4月1日，但于2021年1月13日才成功执行。这种病毒主要通过U盘进行传播,在缺少有效安全防护软件的政企机构网络中往往反复传播感染。

二、预防措施

选项1:安装安天智甲终端防御系统，可实现对该病毒的查杀与有效防护

选项2:安装360安全卫士﹐可对此病毒的实施拦截和查杀

Incaseformat蠕虫专杀工具免费下载链接:

https://bbs.antiy.cn/forum.php?mod=viewthread&tid=85156&extra=page%3D1

如发现电脑文件已被该病毒删除,请立即先杀毒﹐然后使用腾讯电脑管家文件恢复工具进行文件恢复。只要电脑未做过多文件覆盖操作，大部分文件可以恢复。

校长办公室信息中心

2021年1月19日