Trojan/DOS.Ghoster[Backdoor]的首个样本在2024年07月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是以隐藏、欺骗的方式打开安全漏洞或绕过身份验证机制，从而给攻击者提供对受感染计算机的远程访问权限。后门行为通常由黑客或恶意软件开发者利用，用于悄悄地远程控制受害者的计算机，执行非授权的操作或者窃取敏感信息。该特洛伊木马变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Trojan/DOS.Ghoster[Backdoor]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Ghoster[Backdoor]会在计算机中建立隐藏的后门通道，使黑客可以随时远程控制受感染的系统。
该病毒会窃取用户的个人信息、银行账号等敏感数据，威胁用户的隐私安全。
DOS.Ghoster还会悄悄更改系统设置，使系统运行缓慢、程序崩溃，并可能导致蓝屏死机。
具有自我复制的能力，可以通过感染外部设备和网络传播，进一步扩大感染范围。
可以利用系统资源发起大规模的DDoS攻击，使目标服务器瘫痪无法正常工作。
Trojan/DOS.Ghoster[Backdoor]还具有欺骗性，可能伪装成合法程序欺骗用户下载执行，增加感染风险。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Ghoster.EY!tr.bdr
Kaspersky Backdoor.Win32.Ghoster.kg
典型变种
Trojan/DOS.Ghoster.kg[Backdoor]
典型样本
类型 值
MD5 fac9b9881dfa1a824507c13c69fa9583
解决方案
及时安装更新杀毒软件，定期进行病毒查杀，并确保杀毒软件的病毒库是最新的。
加强网络安全意识，避免点击未知邮件附件、下载不明来源的软件，防止木马病毒传播。
检查系统开机项、进程、服务等，发现可疑情况及时清除，避免木马病毒潜伏。
加固系统安全性，及时更新操作系统补丁，禁用不必要的服务和端口，加强防火墙设置。
针对DOS攻击，可以配置DDoS防护设备、将服务器部署在CDN等提高抗击DDoS的能力。
如果系统已被感染，应立即断开网络连接、启用安全模式清除病毒文件，并恢复系统到之前的备份状态。