Virus/DOS.Criminal早在上个世纪就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Criminal存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
病毒会通过发送大量的无效网络请求来占用目标计算机的网络带宽。
它会以高频率发送无效的TCP/IP请求，以耗尽系统资源。
病毒会发起DDoS（分布式拒绝服务）攻击，通过利用多个受感染的计算机同时向目标服务器发送大量的请求，使服务器无法正常运行。
恶意程序还可能会利用已被感染的计算机作为“僵尸网络”中的一部分，参与分布式拒绝服务攻击。
该病毒可能会修改系统的网络设置，以便绕过防火墙或其他网络安全措施。
病毒有可能窃取敏感信息，例如登录凭据、个人资料等。
样本格式分布
格式类别 占比 格式描述
BinExecute 56.52% 用于执行二进制文件的工具或实用程序
Generic 17.39% 不能确定具体类型的文件
Archive 10.87% 将文件或数据进行压缩和存储
Text 10.87% 纯文字内容的文件
DBinExecute 4.35%
其他厂商命名
厂商 命名
Fortinet Criminal.1788
Microsoft Virus:DOS/Criminal
Kaspersky Virus.DOS.Criminal.2615
ESET-NOD32 Criminal.1788
典型变种
Virus/DOS.Criminal.dwp
Virus/DOS.Criminal.2615
典型样本
类型 值
MD5 8d6600290d60b37f2ab8943ff6bbc941
MD5 b3e13954a67fea93c1b51e56984f5ee1
MD5 b9851edec3868acf77f3059339a71cb1
MD5 dcb47ca418eb979369bf3af358533001
MD5 e8417195b80873cc3cec8d6b5e800ad1
解决方案
确保计算机和网络设备上的杀软软件及时更新，以获取最新的病毒定义文件。
使用防火墙和入侵检测系统来监控网络流量，及时发现可疑活动。
加强对操作系统和应用程序的安全配置，限制外部访问和提供最小特权原则。
定期备份重要数据，并将备份存储在离线设备上，以防止数据损失。
使用强密码和多因素身份验证来保护敏感账户。
定期进行系统和应用程序的安全漏洞扫描，及时修补漏洞。