Trojan/DOS.Candym的首个样本在2023年02月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Candym存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为

Trojan/DOS.Candym会尝试禁用防病毒软件和防火墙，以确保其在系统中长时间存在。
它可能会修改系统注册表，使得计算机启动时自动运行，并且很难被检测和清除。
该病毒会频繁向外部服务器发送用户计算机的信息，存在隐私泄露的风险。
Trojan/DOS.Candym可能会滥用系统资源，导致计算机运行缓慢。
它还可能通过下载其他恶意软件的方式扩散传播，使感染范围扩大。
该病毒可能会对系统文件进行破坏或篡改，使系统不稳定甚至不可用。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Kaspersky Virus.DOS.HLLO.Candym.6688
ESET-NOD32 HLLO/Candym.6688
典型变种

Trojan/DOS.Candym.6688
典型样本

类型 值
MD5 694d80c9fc74bd788ddd97a58e510e2c
MD5 6315212c4e3ee549b2ff2705e9fc5920
解决方案

及时更新防病毒软件和防火墙，确保其可以识别和清除Trojan/DOS.Candym。
运行全盘扫描以检测和清除潜在的病毒文件，清除系统注册表中的恶意项。
保持系统和软件的更新，及时修补可能存在的安全漏洞，以减少病毒入侵的可能性。
避免访问不明链接和下载可疑附件，加强对网络安全的意识和防范。
隔离已感染的计算机，并在不连网的情况下进行病毒扫描和处理。
如遇到严重感染，建议寻求专业的计算机安全人员协助清除病毒，以恢复系统正常。