Trojan/DOS.Blackmoon[Banker]的首个样本在2023年12月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。它的主要行为是窃取用户的银行账户信息和其他敏感信息，以达到非法获利或进行其他犯罪活动的目的。目前Trojan/DOS.Blackmoon[Banker]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
植入隐藏: Trojan/DOS.Blackmoon[Banker]会尝试隐藏在系统的深层目录中，以避免被发现和清除。
窃取信息: 该病毒会偷取用户的个人信息、银行账号、登录凭证等敏感数据，并发送给黑客。
修改系统设置: Trojan/DOS.Blackmoon[Banker]可能修改系统设置，以确保自身的持久性和深入植入系统。
自我复制: 病毒会尝试自我复制，使感染范围扩大。
对抗杀软: Trojan/DOS.Blackmoon[Banker]会试图禁用或规避系统中的杀毒软件，以确保自身长时间存在。
发起拒绝服务攻击(DOS): 除了盗取信息外，该病毒还可能利用系统进行分布式拒绝服务攻击，致使服务不可用。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Riskware/Blackmoon
Microsoft TrojanDownloader:Win32/BlackMoon.YA!MTB
Kaspersky Trojan-Banker.Win64.Blackmoon.a
ESET-NOD32 a variant of Win32/Packed.BlackMoon.A suspicious
典型变种
Trojan/DOS.Blackmoon.a[Banker]
典型样本
类型 值
MD5 170e9e03b323170c9479830dfdc13df1
MD5 6def2dc5985dd735f3edc49f981e51b1
MD5 6b716cf10ccc604a4d97b986a03b2c01
MD5 769794e43e59e6a3e3fca8f999206f31
MD5 8de5960d2ee7175a8b093a4b415d3381
解决方案
定期更新杀毒软件: 及时更新系统和杀毒软件，确保其拥有最新的病毒库，以发现和清除Trojan/DOS.Blackmoon[Banker]。
谨慎浏览下载: 避免访问不明网站，下载不明附件或软件，减少感染风险。
强化网络安全: 配置网络防火墙、入侵检测系统等安全措施，阻止病毒入侵。
备份重要数据: 定期备份个人重要数据，以防数据丢失或被勒索。
执行系统漏洞修补: 及时安装系统更新和补丁，修复系统中暴露的漏洞，降低感染风险。
深度清查系统: 定期深度扫描系统文件和进程，查找Trojan/DOS.Blackmoon[Banker]的病毒痕迹，并进行清除。