Trojan/DOS.VB[Downloader]的首个样本在2024年02月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是从互联网上下载和传播恶意文件。通过各种渠道感染用户的计算机，并迅速传播，目的是获取用户的敏感信息或者创建机器人网络。该家族是对Visual Basic编写的特洛伊木马的统称，其并不一定由同一组织编写，之前也不一定有同源关系。由于VirualBasic是一种解释型语言，其编写难度较低，导致样本数量十分丰富。但分析其二进制样本的同源性需要更多的分析人员和更高的算力需求，因此安天按照业界约定俗成的惯例，采用编译器命名来统一作为此类样本的家族名称。目前Trojan/DOS.VB[Downloader]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.VB[Downloader]可能阻止杀软运行，禁止安全软件启动。
定时检测系统杀毒软件的运行情况，一旦发现会立即关闭。
修改系统注册表，隐藏自身进程或勾取系统开机启动项。
会监视用户的网络活动，尝试窃取敏感信息。
利用系统漏洞进行传播，感染更多设备。
耗尽系统资源，导致系统运行缓慢或系统崩溃。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/VB.VB!tr.dldr
Microsoft TrojanDownloader:Win32/VB.VB
Kaspersky Trojan-Banker.Win32.VB.vb
ESET-NOD32 a variant of Win32/TrojanDownloader.VB.VB
典型变种
Trojan/DOS.VB.cis[Downloader]
典型样本
类型 值
MD5 61233ce9b825e64dc4559ef9f347a6d9
MD5 c8bedb7a9e4a6c49bc936b69f0aca03e
解决方案
第一时间使用多款可靠的杀毒软件进行全盘扫描，确保及时发现Trojan/DOS.VB[Downloader]。
备份重要数据，以防数据丢失或被篡改。
在安全模式下运行计算机，尝试清除Trojan/DOS.VB[Downloader]。
更新系统补丁，修复可能存在的漏洞，提高系统安全性。
浏览网页时注意识别可疑链接，避免点击恶意网站。
定期审查系统运行情况，及时应对异常现象。