Virus/DOS.FFI早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.FFI存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
修改系统引导扇区，使得病毒能够在系统启动时被加载。
感染硬盘驱动器的主引导记录（MBR），使得病毒能够在系统启动时被执行。
在硬盘上创建隐藏的文件和目录，用于存储病毒的代码和数据。
植入恶意代码到可执行文件中，使得病毒能够自动感染其他文件。
破坏系统文件和重要数据，导致系统无法正常运行。
通过网络传播病毒，感染其他计算机。
样本格式分布
格式类别 占比 格式描述
BinExecute 57.14% 用于执行二进制文件的工具或实用程序
Generic 28.57% 不能确定具体类型的文件
Archive 14.29% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/Generic.FFI!tr
Microsoft Virus:DOS/FFI
Kaspersky Trojan-Downloader.Win32.Cridex.ffi
ESET-NOD32 a variant of MSIL/TrojanDropper.Agent.FFI
典型变种
Virus/DOS.FFI.316
Virus/DOS.FFI.me
典型样本
类型 值
MD5 86e701e3ea5cd40c60ec1147a0223d61
MD5 8b355c85a1c2282cc84efa2414f66d6c
MD5 fb31ef6b846921c4c96459e1d88cab87
MD5 596064ee673757a8a08698efe9fe39e5
MD5 a8c833b8b4a972627c2280e453ee74ff
解决方案
及时更新杀毒软件，确保拥有最新的病毒特征库。
定期进行全盘扫描，检测和清除可能感染的文件。
使用防火墙保护系统，限制病毒通过网络传播。
避免下载和打开来历不明的文件，特别是可执行文件和附件。
加强系统安全设置，禁止未授权程序的执行。
备份重要文件，以防系统崩溃或文件损失。请注意，最有效的解决方案是综合使用多种安全措施，以增强计算机系统的防护能力。