Trojan/DOS.Metasploit的首个样本在2024年10月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Metasploit存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Metasploit会在感染主机上执行DDoS攻击，以消耗网络带宽。
它会修改系统注册表以自启动，确保在系统启动时始终活跃。
会禁用安全软件、防火墙等防护工具，保证其持续运行。
可能会监视用户操作，窃取个人敏感信息。
会与C&C服务器建立通信，接收指令更新自身功能。
每隔一段时间会更新变种，绕过杀软检测。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Riskware/Metasploit!Android
Microsoft HackTool:AndroidOS/Metasploit.D!MTB
Kaspersky HEUR:HackTool.AndroidOS.Metasploit.j
ESET-NOD32 a variant of Android/HackTool.Metasploit.H potentially unsafe
典型变种
Trojan/DOS.Metasploit.a
典型样本
类型 值
MD5 291c53c27ebae8e0337d26c90ceb5506
MD5 60c667cc313484f07aa8cee1ac42aa56
MD5 3519b17a3022655de8f38560275878a5
解决方案
及时更新系统补丁，加强系统安全性。
定期备份重要数据，预防数据丢失。
安装杀毒软件、防火墙等安全工具，并保持其实时更新。
避免下载来历不明的文件、应用。
不随意点击邮件、链接，提高网络安全意识。
如果发现可疑行为或系统异常，立即进行系统检测和清理。