HackTool/DOS.Lan[Constructor]的首个样本在2024年04月被安天捕获。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。该黑客工具变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前HackTool/DOS.Lan[Constructor]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
改变网络数据包的目的地址，欺骗服务器或其他用户的身份，造成信息泄露或不正常操作
反复尝试登录远程服务器，尝试破解密码
启动大量进程和线程占用系统资源，造成系统崩溃
注入恶意代码到正常系统进程中，避免杀软检测
绕过防火墙设置，隐藏网络流量，增加攻击难度。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Generic.LAN!tr
Microsoft Trojan:MSIL/AgentTesla.LAN!MTB
Kaspersky Trojan.Win32.Loskad.lan
ESET-NOD32 a variant of Win32/Kryptik.LAN
典型变种
HackTool/DOS.Lan.15[Constructor]
典型样本
类型 值
MD5 85bb5afde0a9e3f07d705267d391b2c9
解决方案
配置网络设备，限制网络流量，避免过多的访问请求
加强服务器安全设置，设置复杂的密码策略，及时更新系统补丁
监控系统性能，发现异常情况及时处理，避免系统崩溃
建立网络安全意识，加强员工培训，防范社交工程等攻击手段
优化防火墙策略，实时监控网络流量，及时发现并阻止恶意行为。