RiskWare/DOS.FlyStudio的首个样本在2024年02月被安天捕获。它是一种风险软件，为了实现某些确定的计算机业务功能而编写的程序，虽然不是为了恶意目的而编写，但有可能在攻击场景下转化为攻击工具。该风险软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该风险软件变种数量有1种，但却经历了大量的免杀加工，以至样本Hash数量近127。目前RiskWare/DOS.FlyStudio存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该风险软件形成相同命名。
病毒行为
RiskWare/DOS.FlyStudio 可通过发送大量无效数据包，导致网络拥堵，影响正常网络通信。
可利用漏洞进行攻击，获取系统权限，控制目标计算机。
可变换文件名、注册表项等方式，避免杀软检测。
定时自启动，持续对系统造成影响。
可监视用户操作并窃取敏感信息，如密码、银行账户等。
可修改系统设置，使杀软失效，从而不被及时发现。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Riskware/FlyStudio
Microsoft Trojan:Win32/FlyStudio.DX!MTB
Kaspersky not-a-virus:HEUR:RiskTool.Win32.FlyStudio.gen
ESET-NOD32 a variant of Win32/FlyStudio.HackTool.A potentially unwanted
典型变种
RiskWare/DOS.FlyStudio.a
典型样本
类型 值
MD5 7ea50fce6ef13e4237e48b412ca58821
MD5 8a686e2676fedf0942e0466c65452261
MD5 ba702cd82be6c2e490dc527743a2ede1
MD5 dd5d9762d3e8ff56e27ed6e01d07fde1
MD5 e6552909a4a64255841e1594a740e3f1
解决方案
及时更新操作系统及杀毒软件，确保系统安全补丁完整。
若发现系统异常，及时断开网络连接，防止病毒传播。
运行安全模式进行系统杀毒扫描，并清除病毒文件。
备份重要数据，以避免数据丢失。
使用网络防火墙，限制网络流量及防范不明连接。
对病毒文件建立独立防护机制，以避免病毒的潜藏与恢复。