Trojan/DOS.EmptyBuilder的首个样本在2024年08月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.EmptyBuilder存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.EmptyBuilder会监控用户的系统活动，并窃取用户的个人信息及敏感数据。
通过修改系统注册表和文件系统，以保证自身能够长期隐藏在系统中。
Trojan/DOS.EmptyBuilder常常会启动恶意行为，例如破坏系统文件、篡改系统配置等。
该病毒会劫持网络流量，窃取用户的网络通讯内容和账户密码。
Trojan/DOS.EmptyBuilder内置自我复制功能，能够迅速传播到其他系统，形成病毒链。
为了抵抗杀软软件的检测和清除，该病毒会修改病毒代码，改变特征码。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Riskware/EmptyBuilder
Microsoft PUA:Win32/EmptyBuilder
ESET-NOD32 a variant of Win32/EmptyBuilder.A potentially unsafe
典型变种
Trojan/DOS.EmptyBuilder.a
典型样本
类型 值
MD5 b868dfb49a2c021ec22744f06d1423a6
MD5 852c4e8be1359bdba20828436a25aed0
解决方案
及时更新杀毒软件和操作系统的补丁程序，以确保系统能够及时应对新的病毒威胁。
定期进行系统安全检测和病毒扫描，确保系统不存在潜在的威胁。
避免下载未经信任的软件和文件，特别是来自不明来源的文件。
使用防火墙和网络安全设备对网络流量进行监控和过滤，防止病毒传播。
在系统中禁用自动运行功能，避免木马病毒利用自动运行功能进行感染。
若系统已受感染，应立即隔离受感染主机，并考虑重装系统和恢复数据备份。