2021年1月13日，incaseformat蠕虫病毒将C盘外的分区和删除数据格式化，通过U盘传播，传播速度快，隐蔽性强，危害大。作者从样本分析组获得一个样本，用于病毒分析。作者的能力有限，如果有分析不足的地方，也请指正。这其中一个就是注册表项，在线搜索就是自启动，进入IDA查看这个地址对应的行为。

表内项目

该项目已注册，请翻找上面，找到该项目：即确定文件是否存在，如果不存在则拷贝过去重新注册开机自启动，否则直接注册开机自启动。进行调试，然后辨别正在运行的程序是否与目标地址的程序同样，如果是，则继续进行，否则退出。

若同样，则拷贝它本身，相对路径为C:\Windows\tspy.exe。

该病毒的释放过程如下：自我复制到C:\Windows\tsp.exe，并注册开机自动启动tsp.exe依赖于开机自启动，tsp.exe复制到C:\Windows\tsp.exe的一个副本，在三个过程中，执行tsp.exe执行主逻辑时，通过辨别自个的相对路径来决定执行什么操作，首先是辨别目标文件是否存在，以决定是拷贝还是执行文件。在delphi的API删除文件的下断点上，发现病毒将清除C盘以外的其他磁盘，果然断了。在sub_44EC70中跟踪，该函数的作用是在一个磁盘下删除所有文件。使用前缀相对路径*.*匹配所有文件名，循环删除将在递归删除时循环删除文件夹。

如果年份大于0x7d7(2008)、月份大于3、日期为1、12、21和29，则通过交叉引用找到TForm1_Timer2Time获取时间，并执行以下操作。此处因为delphi库函数的常数错误，导致时间转换错误，导致13日发生。根据函数名称和函数功能，可以看到该函数是由一个定时器调用的。这几个函数都是通过交叉引用找到的：可以看到，除了用于删除文件的Timer2之外，还有三个定时器，经过分析，确定如下功能：Timer3：写进注册表项，隐藏文件扩展名，隐藏系统文件Timer4：建立incaseformat.log文件另外在调试期间发现：Timer2执行时，会先删除文件夹，然后用.exe作为文件夹的名称将自个复制到文件夹中，然后删除。

怎样去除病毒？查看任务管理器，查看是否存在tsp.exe进程，如果存在，则将其结束。Folder选项勾选显示扩展名，并显示隐藏文件，文件夹或驱动器。检测C:\Windows目录下的tsay.exe和ttry.exe是否存在，如果存在则删除它们。