Worm/DOS.Autorun的首个样本在2024年01月被安天捕获。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Worm/DOS.Autorun存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
Worm/DOS.Autorun 会持续在后台运行，消耗系统资源，降低系统性能。
病毒会修改系统注册表和启动项，以实现开机自启动，并隐匿自己的存在。
病毒可能通过系统漏洞进行攻击，窃取用户隐私信息，并发送到远程服务器。
病毒可能禁用防病毒程序或防火墙，以确保自己不被检测和清除。
Worm/DOS.Autorun 可能利用传统传播途径，如邮件附件、网络共享等方式扩散，加剧感染范围。
病毒可能携带其他恶意模块，如键盘记录器、勒索软件等，进一步危害受感染系统。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/AutoRun.XM!worm
Microsoft Virus:Win32/Autorun.NE
Kaspersky HEUR:Trojan.Script.AutoRun.gen
ESET-NOD32 INF/Autorun.T
典型变种
Worm/DOS.Autorun.vx
Worm/DOS.Autorun.vb
Worm/DOS.Autorun.dtbv
Worm/DOS.Autorun.gen
Worm/DOS.Autorun.inf
典型样本
类型 值
MD5 4746abf4605c0d6d72d517490f07fcc1
MD5 71c4c9a5ccb1eb191bdebce0423cc041
MD5 dfea42ac0ea7768ad63c07a967f5e521
MD5 70b9ba73fa14aeafcd6bb669ed99e632
MD5 71483a8201af8806d784f137710d3526
解决方案
定期更新操作系统和防病毒软件，确保安全补丁和病毒库的及时更新。
使用及时有效的病毒扫描工具进行全盘扫描，发现并清除感染的病毒。
禁用自动运行功能，避免插入未知来源的可移动设备。
对网络传输进行加密保护，避免病毒通过网络渗透。
加强用户安全意识培训，警惕点击未知链接和下载可疑附件。
在感染后，立即隔离受感染系统，禁止与其他系统连接，以减少病毒传播风险。