GrayWare/DOS.InstallCore的首个样本在2023年10月被安天捕获。它是一种灰色软件，灰色软件是一类在受侵害主机上运行、占据被侵害主机的资源、可能带来主机和用户信息泄露，但不足以构成重大风险的软件或插件。该灰色软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前GrayWare/DOS.InstallCore存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该灰色软件形成相同命名。
病毒行为

GrayWare/DOS.InstallCore具有自我复制能力，可以在系统中生成大量副本。
它可能会修改系统注册表，以确保其启动和运行。
GrayWare/DOS.InstallCore会监视用户的网络活动，窃取个人隐私信息。
它能够持续向用户展示弹窗广告，影响用户浏览网页的体验。
GrayWare/DOS.InstallCore可能屏蔽或关闭杀软程序，以确保自身不被清除。
该恶意软件可能会定时上传用户的个人数据至远程服务器。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Adware/InstallCore
Microsoft PUA:MacOS/InstallCore.B!MTB
Kaspersky not-a-virus:HEUR:Downloader.OSX.InstallCore.al
ESET-NOD32 Win32/InstallCore.Gen.G potentially unwanted

典型样本

类型 值
MD5 18842641d63dd161a6d5f1b193ebd5d6
MD5 d56cf33216dadfb2b54f556424e69b1a
解决方案

使用可信赖的杀毒软件对系统进行全面扫描，及时清除发现的GrayWare/DOS.InstallCore。
定期更新杀软程序的数据库，以确保及时识别和清除最新的恶意软件。
注意安装软件时选择高信誉来源，避免下载安装来源不明的软件。
避免点击不明链接和附件，以免被诱导下载GrayWare/DOS.InstallCore。
及时更新系统补丁，以修补系统漏洞，减少恶意软件利用的机会。
多备份重要数据，以便在感染GrayWare/DOS.InstallCore等恶意软件时能够及时恢复数据。