尊敬的校园网用户：

 

　　您好！趋势科技已经收到多个感染PE_CORELINK.C（克邻大盗）病毒的报告，目前该病毒正在中国地区传播中。请密切关注[PE_CORELINK.C]病毒。

————————————————————

<>病毒名称：[PE_CORELINK.C]
<>传染途径：[网络下载，网络共享，移动设备]
<>需要的病毒码更新版本：[请趋势科技用户将全球病毒码升级到4.513.00，将中国区病毒码升级到4.514.60。]

————————————————————

 

紧急解救方法：
1.更新病毒码：
全球病毒码用户请在线更新到4.513.00以上，中国区病毒码用户请在线更新到4.514.60以上。

 

2.手动部署扫描引擎：

 

对于使用全球病毒码的OSCE和CSS/CSM用户：
全球病毒码（Global pattern）引擎下载地址
http://support.trendmicro.com.cn/Anti-Virus/Engine/VSAPI-KD-8.330-1003.zip

 

引擎部署方法：
<1>停止 Officescan Master Service 服务
<2>把下载好的ZIP文件更名为“tmengNT.zip”
<3>将 \PCCSRV\Download\ 里的 tmengnt.zip做备份与删除
<4>把tmengNT.zip压缩包里面的文件解压缩到…\PCCSRV\pccnt\drv下
<5>把tmengNT.zip文件复制到…\PCCSRV\Download和PCCSRV\Download\engine两个文件夹下
<6>把PCCSRV\Download\engine下的tmengNT.zip改名为“eng_ntkd.zip”
<7>右击eng_ntkd.zip文件，察看其属性，记录下该文件的大小740842
<8>打开…\PCCSRV\Download\server.ini文件
<9>CTRL+F，查找“ENGINE”，把其中的参数调整为

 

   [ENGINE]
   Path_VSAPI32_NT_KD=/engine/eng_ntkd.zip, 8.330.1003, 740842
   E.10=VSAPI32_NT_KD, engine/eng_ntkd.zip, 8.330.1003, 740842, 6.51.1002

 

<10>保存该文件
<11>打开…\PCCSRV\ofcscan.ini
<12>CTRL+F，查找“INI_PROGRAM_VERSION_SECTION”，把“EngineNT_Version”的参数改为8.330.1003
<13>保存该文件
<14>启动 Officescan Master Service 服务
<15>进入主控台，更新>>客户机部署>>手动部署, 通知客户端更新
<16>在控制台的“摘要”和客户端的“帮助”>>"关于", 察看扫描引擎是否已经更新

 

对于使用中国区病毒码的OSCE和CSS/CSM用户：
中国区病毒码（China pattern）引擎下载地址(注意: 只适用Win2000以及Win XP以后的系统)
http://support.trendmicro.com.cn/Anti-Virus/Engine/VSAPI-KD-8.330-1004.ZIP 

 

引擎部署方法：
<1>停止 Officescan Master Service 服务:
<2>把下载好的ZIP文件更名为“tmengNT.zip”
<3>将 \PCCSRV\Download\ 里的 tmengnt.zip做备份与删除
<4>把tmengNT.zip压缩包里面的文件解压缩到…\PCCSRV\pccnt\drv下
<5>把tmengNT.zip文件复制到…\PCCSRV\Download和PCCSRV\Download\apac\engine两个文件夹下
<6>把PCCSRV\Download\engine下的tmengNT.zip改名为“eng_ntkd.zip”
<7>右击eng_ntkd.zip文件，察看其属性，记录下该文件的大小752402
<8>打开…\PCCSRV\Download\server.ini文件
<9>CTRL+F，查找“ENGINE”，把其中的参数调整为

 

   [ENGINE]
   Path_VSAPI32_NT_KD=apac/engine/eng_ntkd.zip, 8.330.1004, 752402
   E.10=VSAPI32_NT_KD, apac/engine/eng_ntkd.zip, 8.330.1004, 752402, 6.51.1002

 

<10>保存该文件
<11>打开…\PCCSRV\ofcscan.ini
<12>CTRL+F，查找“INI_PROGRAM_VERSION_SECTION”，把“EngineNT_Version”的参数改为8.330.1004
<13>保存该文件
<14>启动 Officescan Master Service 服务
<15>进入主控台，更新>>客户机部署>>手动部署, 通知客户端更新
<16>在控制台的“摘要”和客户端的“帮助”>>"关于", 察看引擎是否已经更新

 

注意：对于使用中国区病毒码的CSS/CSM3.6中文版用户，在进行第五步和第九步的操作中，路径中没有“apac/”。
　

 

3.病毒清除工具下载地址：
http://support.trendmicro.com.cn/Anti-Virus/DCT/TSC_869_for_PE_CORELINK_C.zip

 

————————————————————

病毒特性：
1.感染优盘或是移动硬盘的根目录，并在优盘或是移动硬盘插入时自动执行
2.通过管理共享传播
3.感染特定的可执行程序
4.下载其他恶意病毒程序
5.使用下载的其他恶意病毒程序发动arp欺骗，进行信息窃取

————————————————————

 

该病毒的主要文件清单及相关功能：
1.主程序boot.exe，主要负责优盘和移动磁盘的感染，并生成病毒文件linkinfo.dll，生成路径为windows安装目录
2.linkinfo.dll,
负责下载其他负责窃取信息的病毒，以及释放名为nvmini.sys的驱动程序进行自身的隐藏，生成路径为windows安装目录中的system32\drivers文件夹
3.linkinfo.dll,
下载的文件有winnetmanager.exe，以随机数字六位数字为名组成的文件，如350217M.BMP、350217LZ.DLL，生成路径为windows安装目录
4.另外在windows安装目录中的system32\drivers文件夹中会生成名为arp8023.sys的驱动程序发动arp的欺骗