Trojan/DOS.ServU-based[Backdoor]的首个样本在2024年01月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是以隐藏、欺骗的方式打开安全漏洞或绕过身份验证机制，从而给攻击者提供对受感染计算机的远程访问权限。后门行为通常由黑客或恶意软件开发者利用，用于悄悄地远程控制受害者的计算机，执行非授权的操作或者窃取敏感信息。该特洛伊木马变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Trojan/DOS.ServU-based[Backdoor]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，由于该特洛伊木马的变种变化较大，安全厂商依托不同的检测方式进行检测覆盖，其中Microsoft，Fortinet等安全厂商给出了不同的命名。
病毒行为
该病毒具备隐藏性强，隐匿性高，易避开杀软监控。
可以在系统中设置多重后门，制作自启动服务，实现持久化感染的行为。
通过修改系统注册表、进程注入等技术手段欺骗杀软，保持持续运行。
对抗常见杀软检测，篡改文件属性，避免被及时发现。
可以屏蔽安全软件的运行，擅长绕过防火墙和访问控制等保护机制。
可以发起DOS攻击，使目标系统服务不可用，瘫痪网络。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Mirc-based!tr.bdr
Microsoft Backdoor:BAT/ServU.B
Kaspersky Backdoor.Win32.ServU-based
ESET-NOD32 Win32/ServU-based
典型样本
类型 值
MD5 abff1a3088a1ef838d2b0907bbec44e8
解决方案
即时安装可信赖的杀毒软件进行全盘扫描，彻底清除病毒文件。
及时更新系统和应用程序补丁，修复ServU FTP服务器漏洞，提高系统安全性。
进行网络隔离，阻断与感染主机的网络连接，避免病毒进一步传播。
建立有效的访问控制机制，加强对入侵检测和防御能力。
定期备份重要数据，以防文件损坏或篡改造成重大损失。
对于严重受感染系统，考虑重置密码，恢复到之前的备份状态，清除该病毒的所有痕迹。