RiskWare/DOS.InstallMonster[Downloader]的首个样本在2024年01月被安天捕获。它是一种风险软件，为了实现某些确定的计算机业务功能而编写的程序，虽然不是为了恶意目的而编写，但有可能在攻击场景下转化为攻击工具。该风险软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是从互联网上下载和传播恶意文件。通过各种渠道感染用户的计算机，并迅速传播，目的是获取用户的敏感信息或者创建机器人网络。该风险软件变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前RiskWare/DOS.InstallMonster[Downloader]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该风险软件形成相同命名。
病毒行为
RiskWare/DOS.InstallMonster[Downloader]具有免杀能力，可逃避常规杀软的检测
引起系统性能下降，占用大量系统资源并导致系统运行缓慢
屏蔽用户安全防护软件，禁止其正常功能，增加系统易受攻击性
收集用户敏感信息，如账号、密码等，危害用户隐私安全
启动创建大量僵尸进程，导致系统崩溃或异常运行
改变系统注册表项，使得系统启动项被篡改，为后续恶意行为打下基础。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/InstallMonster.AEOA!tr
Microsoft SoftwareBundler:Win32/InstallMonster
Kaspersky not-a-virus:AdWare.Win32.InstallMonster.fzow
典型变种
RiskWare/DOS.InstallMonster.am[Downloader]
典型样本
类型 值
MD5 ed7849a2fa1f6833f6da6c7fc1fd8569
解决方案
及时更新杀毒软件和防护软件，保证防护能力
定期对系统进行全盘扫描，清理及时发现的可疑文件
注意不轻易下载安装未知来源软件，保持软件来源信誉度
经常备份重要数据，防止数据泄露或被勒索
使用防火墙等安全工具，限制恶意软件通信
若感染RiskWare/DOS.InstallMonster[Downloader]病毒，应立即隔离受感染系统，查杀删除病毒文件，恢复系统到正常状态。