2009年5月，有网友在百度知道提了一个问题：

“incaseformat蠕虫无法查杀”

在问题下面，他描述了中毒后的现象：“特征是每个盘符下都产生一个标题为incaseformat的文本文档，无法删除，且电脑的搜索功能无法使用”

从他的问题描述来看，这个病毒尚未给他的电脑造成实际损失（没删文件）。

12年后，多个安全厂商纷纷发布公告：“incaseformat蠕虫爆发，***厂商可查杀该病毒”。

各位网友，看了这个消息，你们有啥感想？

反正，我是替这些厂商挺害臊的。

日期转换错误，导致老病毒在12年后发作

深信服和火绒的技术分析表明，incaseformat病毒设置了发作时间：“在代码中内置了一颗“定时炸弹”，蠕虫会获取受感染主机的当前时间，获取到时间后，程序与指定的时间进行了比对，当“年份>2009，月份>3，日期=1或日期=10或日期=21或日期=29

    即2009年后，每个大于3月的1号、10号、21号和29号时会触发删除文件操作。”

按照这些条件推算，本来病毒的第一个发作日为2010年的愚人节。

病毒发作之后，会把C盘外的所有文件全部删除。如下图：

但是，因为病毒程序中的Delphi库出现了错误，DateTimeToTimeStamp用于计算的一个变量发生异常，导致转换后的时间与真实的主机时间并不相符，因此真实触发时间与程序设定条件不相同（原本2010年愚人节的启动时间，错误转换成了2021年1月13日）

这就使得这个已经存在12年之久的老病毒，集中在昨天13日开始发作。

距离现在最近的一次删除文件时间为1月23日上午6点。

再下一次是2月4日上午8点。

现在安装主流的杀毒软件，应该都可以查杀这个病毒了，这倒不用担心。如果文件已经被删除，可以先杀毒，再用数据恢复软件试试恢复下，恢复成功率还是挺高的。

病毒怎么传播，中毒后有什么表现？

这个病毒主要通过U盘、移动硬盘和网络共享文件目录传播，并会在共享目录或移动设备路径下将正常的文件夹隐藏，自己则伪装成文件夹的样子。

这个过程值得详细说一下：

当U盘插入一台带毒电脑后，病毒会把自己复制到U盘上，并把U盘所有的文件和文件夹进行隐藏，再在U盘上创建同名的exe文件，如下图：

（这是U盘传播示意图，并非incaseformat实图）

当你点击任何一个exe文件的时候，他会先运行自己，再把对应的、已经隐藏起来的文件夹打开。这样如果你不仔细看，这个U盘上的文件和文件夹都是正常的，也能正常打开，只不过打开之前会先运行病毒。

病毒运行之后，就是蠕虫的常规操作：在开机启动项里添加自己，可以随开机而启动；把自己复制到windows目录下；查询时间，如果系统时间满足运行条件，则把C盘之外的所有文件删除；在每个硬盘分区创建一个incaseformat文件。

由于文件夹蠕虫感染后没有带来明显的损失，大多数用户都会疏于防范，且文件蠕虫主要通过文件共享和移动设备传播，一旦感染后容易快速蔓延内网，很多此次爆发现象的电脑可能在很早前就已经感染。

为什么说这个病毒羞辱了整个行业？

安全行业通常把自己说的很高大上，又是智能AI、又是大数据，还有各种各样的云，那架势仿佛病毒只要敢出来就能被第一时间干掉。

但是啊，事怕细想：

这个病毒从出现到现在，已经过去了12年，最开始那台中毒电脑，估计也已经被淘汰、不能用了。（你还记得那时候用的什么电脑吗）

传播途径也不复杂，就是简简单单的U盘和网络文件夹共享。

技术上有啥高深么？至少这些报警的安全厂商没提，而且时间转换这种重要功能都能出现bug

这么个破病毒，居然在12年后，还能让大牌厂商集体为他发布一次病毒警告，

我注意到一个细节啊。

最早的感染者2009年出现，在技术分析里，某厂商提到自己的入库时间是2014年。

好家伙！

如果我装了他的杀毒软件，那我就裸奔了5年呗。

那些高大上的病毒监测网络呢，为啥没发现这个病毒？

这还是中毒用户都在百度知道这样的社区求助了，还是没人搭理。

那要是编写的再隐蔽一些，没有发作特征，不在硬盘上创建“incaseformat”文件，杀毒厂商们干脆就束手无策呗。

一声叹息，不知道说啥。