新进展：火绒安全发现incaseformat蠕虫病毒遭黑客篡改

据火绒安全消息，1月13日爆发的incaseformat病毒分析有了最新进展。火绒工程师通过火绒威胁情报系统以及样本分析，再次对病毒深度溯源发现，该病毒有意蛰伏至今才爆发，或为攻击者的精心策划。

而在此前的分析中，火绒推测病毒程序制作存在错误，导致其爆发时间推迟到今年1月13日，随后国内其它安全厂商也在后续报告中表明一致观点。

火绒方面发现，该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒，最早可追溯至2009年，其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期（愚人节）来看，不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种，最早可追溯至2014年，并被设置在2021年1月13日爆发。

火绒在报告中详细指出，两个变种病毒在核心代码逻辑中仅有一处数据被篡改。这种篡改的方式极其细微隐蔽，更像是精心策划，目的或是为了引导病毒分析人员误以为病毒程序出现bug，增加潜伏的机会，以便继续扩散危害。

图：两个变种病毒出现与爆发时间点

这也解释了，在此前关于该病毒事件的众多分析报告中，不同厂商对该病毒的追溯日期偏差（包括2009年、2014年等）实际上源自对该病毒两个不同变种的混淆。火绒表示，火绒基于自主反病毒引擎，能够同时查杀两个变种的全部样本。

被篡改的病毒利用文件名获得用户信任躲避查杀，加上超长潜伏期的传播积累，导致感染量持续增长，并于在今年1月13日突然大范围爆发，达到了严重程度。而根据“火绒终端威胁情报系统”监测，也证实在2020年5月以后，被篡改的病毒样本的传播量有显著上升趋势。