Trojan/DOS.Ramnit的首个样本在2017年11月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该特洛伊木马变种数量有2种，但却经历了大量的免杀加工，以至样本Hash数量近347。目前Trojan/DOS.Ramnit存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为

恶意文件感染：Trojan/DOS.Ramnit会感染目标系统中的可执行文件，使得这些文件被病毒修改和操控，从而导致系统执行异常。
启动项篡改：病毒会修改系统的启动项，使得在系统启动时自动加载并执行恶意代码，进一步加剧了系统的不稳定性。
网络传播：Trojan/DOS.Ramnit可以通过网络传播，利用漏洞来感染其他计算机，形成病毒传播的链式效应。
远程控制：该病毒还具有远程控制功能，攻击者可以通过控制中心远程操控被感染的计算机，进行各种恶意行为。
自我复制：Trojan/DOS.Ramnit可以自我复制并传播到其他目标文件和系统，增加病毒的传播范围。
对抗杀软：病毒会检测并对抗杀软，尝试关闭杀软防护模块，以保证自己的存活和传播。
样本格式分布
格式类别 占比 格式描述
BinExecute 87.57% 用于执行二进制文件的工具或实用程序
Archive 12.43% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/Ramnit.K!tr
Microsoft Virus:VBS/Ramnit.gen!C
Kaspersky Trojan.Win32.Ramnit.w
ESET-NOD32 Win32/Ramnit.A
典型变种

Trojan/DOS.Ramnit.c
Trojan/DOS.Ramnit.a
典型样本

类型 值
MD5 595f2d676a593640a54680704c7218e1
MD5 8ae2976722d13a5b5cbfa4de86fe0541
MD5 9695f5e3d9a98cd76526d8c758092811
MD5 ad7fdca275f4f0e0e2e5dd9ad6b59391
MD5 a28b8830b3afdeabb0a43cbfb635bf41
解决方案

更新杀软：及时更新杀软软件，以获取最新的病毒定义文件和修复补丁，提高系统的抗病毒能力。
扫描和清除：运行杀软进行全盘扫描，并对检测到的病毒文件进行清除和修复。
系统加固：加强系统的安全性设置，比如启用防火墙、强密码策略和用户权限管理，减少病毒感染的机会。
注意安全浏览：避免点击、下载和打开来路不明的文件和链接，以免意外感染病毒。
禁用自动运行：禁用系统中的自动运行功能，以防止病毒利用自动运行感染系统。
系统恢复：如果系统已经受到了严重破坏，可以考虑进行系统恢复或重装操作系统，确保系统安全和稳定性。