从业界了解到，该病毒最早出现时间为2009年，主流杀毒软件厂商均将此病毒命名为Worm.Win32.Autorun（业界称为“incaseformat”病毒），从名称可以判断该病毒为Windows平台通过移动介质传播的蠕虫病毒。
病毒文件运行后，首先复制自身到Windows目录下（C:\windows\tsay.exe），文件图标伪装为文件夹。

同时修改注册表键值实现自启动，涉及注册表项为：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa

病毒文件将在计算机启动后 20s 开始删除用户文件。并开始遍历所有非系统分区下目录并设置为隐藏，同时创建同名的病毒文件。

此外病毒还会通过修改注册表，实现不显示隐藏文件及隐藏已知文件类型扩展名，涉及的注册表项包括：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\checkedvalue
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\checkedvalue

最后，病毒对非系统分区下所有文件执行删除操作，并创建incaseformat.log文件。

 
感染分析
该病毒会恶意删除用户磁盘文件，加上病毒本身只能通过U盘等移动介质进行传播，并无相关网络传播特征，对用户的计算机数据造成极大威胁。
此次在国内多个行业出现大规模感染事件，猜测可能与相关应用系统的供应链或厂商运维有关，具体传播途径还需做进一步溯源分析。
 
解决方案
可采用世安网络准入控制系统，不仅可以对网络边界进行安全管控，还可以联动主流杀毒软件厂商（例如：江民杀毒、亚信TDA、360杀毒）实现病毒终端的定位，和实时隔离阻断，防止进一步扩散，高效把控网络安全。

 
近日，新冠病毒进一步发展，国内病例日益增多，政府积极号召大家做好疫情防范措施。
在此，世安网络准入控制系统紧跟国家脚步，联动主流病毒厂商，进一步做好网络病毒防范工作，保障各地用户网络安全！