Trojan/DOS.Remcos[Backdoor]的首个样本在2024年06月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是以隐藏、欺骗的方式打开安全漏洞或绕过身份验证机制，从而给攻击者提供对受感染计算机的远程访问权限。后门行为通常由黑客或恶意软件开发者利用，用于悄悄地远程控制受害者的计算机，执行非授权的操作或者窃取敏感信息。目前Trojan/DOS.Remcos[Backdoor]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Remcos[Backdoor]能够在后台运行，并与远程控制服务器建立连接，实现远程控制用户计算机的功能；
该病毒可以通过隐藏文件及进程名称等方式来躲避常规的杀毒软件查杀；
Trojan/DOS.Remcos[Backdoor]能够窃取用户的敏感信息，如账号密码、银行卡信息等；
攻击者可以利用该病毒对受感染计算机进行DOS攻击，占用计算机资源导致网络拥堵；
Trojan/DOS.Remcos[Backdoor]可以自我复制，传播至其他计算机，形成大范围感染；
该病毒还具有自动更新和隐蔽性强的特点，难以被发现。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Remcos.M!tr.bdr
Microsoft Backdoor:MSIL/Remcos!MTB
Kaspersky HEUR:Backdoor.Win32.Remcos.gen
ESET-NOD32 Win32/Remcos.A potentially unsafe
典型变种
Trojan/DOS.Remcos.gen[Backdoor]
典型样本
类型 值
MD5 9b2135adce3ae5e1439c7eb8dbf183e1
MD5 fa01bbc3a316083b0f71bf78d1dda00c
解决方案
及时更新杀毒软件和操作系统补丁，保持系统安全更新，提高系统防御能力；
定期进行病毒扫描和系统清理，清除潜在的恶意软件，确保系统干净；
注意防范钓鱼邮件和恶意链接，避免下载未知来源的文件和程序；
加强网络安全意识，警惕不明身份的远程控制请求，谨慎处理电子邮件附件和链接；
使用防火墙保护网络通信，限制外部访问，避免恶意攻击者入侵；
如果发现计算机受感染，立即断开网络连接，清除病毒并恢复系统，重设敏感账号密码并监控账户活动。