粗心大意|黑客也有粗心大意的时候——Incaseformat蠕虫病毒丨大东话安全_溺水|防范|安全

一、小白剧场
小白：东哥，前几天我的朋友一直在问我关于如何保持电脑安全的事，可忙死我了。
大东：都问的你什么呀？你朋友是受你的影响而关注安全领域的事件吗？
小白：我可没那么大影响力，只是前几天我一个朋友电脑里很多文件都被删除了，然后咨询了我一下。
【粗心大意|黑客也有粗心大意的时候——Incaseformat蠕虫病毒丨大东话安全】大东：哈哈，可以的，这也算是学以致用了，那你是怎么回复的呢？
小白：正好关注到前几天安全圈发生了incaseformat蠕虫事件，所以我怀疑他的电脑中病毒了。
大东：你的判断有道理，那你是怎么帮助你朋友的？
小白：这说来惭愧，我没有特别仔细的看那篇文章，所以我只告诉他安装一个杀毒软件就可以了。
大东：是不是有种书到用时方恨少的感觉？
小白：没错，所以我这不是来请教东哥了嘛。
大东：哈哈，好的，那我们今天就讲讲这个蠕虫病毒。
二、话说事件
小白：这个病毒是在什么时候出现的？又是什么类别呢？
大东：这其实是一个比较古老的蠕虫病毒了，某机构根据此类病毒的传播机理，将其系列变种均统一归入Worm/Win32.Autorun。
小白：这么早的病毒，那为什么现在还会造成危害呢？难道之前的防御机制无法查杀吗？
大东：这倒不是，其实对于此类蠕虫病毒，很多安全软件都可防御查杀。
小白：不对呀，如果能够查杀的话为什么还有会那么多受害者？我听说此类病毒传播速度很快。
大东：其实，此类病毒近期传播感染并没有激增，之所以有人会被攻击其实就是用户的安全意识不高所导致的。
小白：为什么这么说？
大东：因为很多机构和个人用户机器长期处于“裸奔状态”，或者不安装一些防护软件，导致这一蠕虫病毒长期寄存在电脑中。
小白：如果是这样的话，那为什么病毒现在才爆发呢？
大东：因为该蠕虫是带有删除文件的逻辑炸弹，你还记得我们之前讲过逻辑炸弹吗？
小白：记得，上次千年虫病毒就跟这个相关对吧？
大东：没错，小白你的记性不错嘛。
小白：那这次事件是哪里出现逻辑错误了？
大东：其实之所以病毒最近才发作是攻击者的疏忽，病毒制作者预设2010年4月1日为首次发作日期，但是由于传入的函数参数错误，导致这个事件被延迟到了2021年1月13日。
小白：没想到黑客也会犯这种低级的错误呀，这件事警示我们以后写代码的时候一定要谨慎。
大东：哈哈，而且这事件也是对我们很好的警告。
小白：什么警告呀？
大东：大众之所以如此关心这个事是因为该病毒是在近期才发作的，这件事揭露了现在还有很多人安全意识不高。就算安全软件做得再好，但是用户不安装，那还是无济于事。
小白：确实是这样，那这个病毒最早版本是什么时候？如果离现在时间不是特别长的话，也不能完全怪用户吧。
大东：该蠕虫的最早家族版本出现在2009年，而且该家族存在数百个版本的迭代演进，不同版本之间功能也不相同，有些版本的功能为隐藏用户系统盘外的大部分文件，有的版本功能为删除文件。
小白：所以近期发生的这个蠕虫病毒的功能是后者了，那攻击者之前打算什么时候删除文件？
大东：根据对病毒代码的分析，最后确定之所以近期才删除文件是因为时间函数变量值存在编写错误，所以执行删除文件的操作由2010年4月1日被推迟到2021年1月13日，其实攻击者的原意为在2010年3月后每个月的1号、10号、21号、29号后开始执行文件删除操作。