Virus/DOS.Phoenix早在上个世纪就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Phoenix存在压缩文件、可执行文件等至少6种格式的样本，压缩文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
它会定期发送大量无效请求到目标服务器，导致目标服务器资源耗尽，无法正常处理合法请求。
病毒会利用分布式拒绝服务（DDoS）攻击手段，通过僵尸网络发起大规模的攻击，使目标服务器瘫痪。
它会修改操作系统的关键配置文件，破坏系统稳定性，导致系统崩溃或无法正常启动。
病毒会通过网络传播自身，感染其他计算机，扩大感染范围，形成一个庞大的僵尸网络。
它能够自我隐藏并修改系统注册表，使杀软难以检测和清除，保证自身的持久存在。
病毒会窃取用户的敏感信息，如密码、银行账户等，导致用户隐私泄露和财产损失。
样本格式分布
格式类别 占比 格式描述
Archive 57.32% 将文件或数据进行压缩和存储
BinExecute 17.57% 用于执行二进制文件的工具或实用程序
Generic 13.81% 不能确定具体类型的文件
Text 10.04% 纯文字内容的文件
DBinExecute 0.84%
Document 0.42% 指包含文本、图像或其他数据的文件
其他厂商命名
厂商 命名
Fortinet W32/Phoenix.163!tr.bdr
Microsoft Trojan:Win32/Phoenix
Kaspersky Backdoor.Win32.Phoenix.163
ESET-NOD32 Phoenix.Phoenix.A
典型变种
Virus/DOS.Phoenix.800
Virus/DOS.Phoenix.1226
Virus/DOS.Phoenix.1266
Virus/DOS.Phoenix.1704
Virus/DOS.Phoenix.cno
典型样本
类型 值
MD5 3ddf974fdef5e97bbcb5ddbc67034f21
MD5 41c1c77cd07457a86b3638db55afd751
MD5 71e38ed575af1b8d0288eeb9a66d5fb1
MD5 80ad20e8c683c16118af9209ab74dbc1
MD5 9e695b0df78474448f3868fc241d4571
解决方案
更新杀毒软件至最新版本，确保能够及时识别和清除该病毒。
定期备份重要数据，以便在病毒感染或系统崩溃时能够快速恢复。
设置强密码，并定期更改密码，以防止病毒窃取用户敏感信息。
安装防火墙，限制网络访问权限，减少病毒感染的可能性。
不随意下载或打开未知来源的文件，避免感染病毒。
定期进行系统安全扫描，确保及时发现和清除潜在的恶意软件。
如果受到病毒攻击，立即与安全专家联系，获取更详细的故障修复指导。