Virus/DOS.Dei早在上个世纪就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Dei存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
感染系统文件：它会将自己的代码插入到系统文件中，以实现持久性感染，并使自身在系统启动时自动加载。
操纵内存：它可能通过修改系统内存中的数据来破坏系统的正常运行，例如修改关键系统进程的内存内容。
修改系统设置：它可以更改系统的配置文件或注册表项，以绕过杀软的检测或阻止用户访问安全设置。
阻止安全软件：它可能会关闭或禁用防火墙、反病毒软件等安全软件，以免被发现和清除。
传播方式：它可以通过感染可执行文件、共享文件、可移动存储设备等方式传播，并通过网络传播到其他计算机。
数据损坏：它可能破坏存储在计算机上的文件和数据，导致用户的重要数据丢失或无法访问。
样本格式分布
格式类别 占比 格式描述
BinExecute 43.19% 用于执行二进制文件的工具或实用程序
Archive 29.86% 将文件或数据进行压缩和存储
Generic 14.49% 不能确定具体类型的文件
Text 12.17% 纯文字内容的文件
DOS 0.29%
其他厂商命名
厂商 命名
Fortinet W32/PWS_y.DEI!tr
Microsoft Trojan:Win64/Cridex.DEI!MTB
Kaspersky Trojan.Win32.DelfiDelfi.dei
ESET-NOD32 a variant of Win32/GameHack.DEI potentially unsafe
典型变种
Virus/DOS.Dei.cqm
Virus/DOS.Dei.1526
Virus/DOS.Dei.cwy
Virus/DOS.Dei.1792
Virus/DOS.Dei.cqy
典型样本
类型 值
MD5 04629b5c61820eef24b3d738eb1d0021
MD5 0f9d149ddf3f41d4a87eefdf41c91d41
MD5 1a17de921ae5b51ba2a1f5248a5ff771
MD5 26c23c7abd6abdb2fd1649704aaa4f91
MD5 303e9bae132884b01ee8ed5fb1a600b1
解决方案
使用强大的反病毒软件：安装并定期更新反病毒软件，以确保及时发现和清除病毒。
定期备份数据：定期备份重要数据到安全的存储设备，以防止数据损失。
更新系统和软件：及时安装操作系统和软件的安全补丁，以修补漏洞，减少病毒感染的可能性。
谨慎打开附件和下载文件：不打开来历不明的电子邮件附件，不从不可信任的网站下载文件，以免感染病毒。
启用防火墙：在计算机上启用防火墙，并配置合适的安全策略，以阻止未经授权的访问。
教育员工安全意识：加强员工的网络安全教育培训，提高他们对病毒和网络攻击的认识，避免不必要的风险。