HackTool/DOS.Cregam[Constructor]的首个样本在2015年05月被安天捕获。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.Cregam[Constructor]存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
使用自定义攻击工具包生成恶意代码，用于发起DOS攻击。
通过发送大量的请求或恶意数据包，来超载目标系统的网络带宽、处理器或内存资源。
利用各种攻击手段，如SYN洪水攻击、UDP洪水攻击等，来消耗目标系统的网络资源。
使用分布式攻击方式，通过僵尸网络发起大规模的DOS攻击，增加攻击威力。
修改目标系统的配置文件或注册表，使其在启动时自动运行恶意程序。
欺骗目标系统，采用伪装的网络数据包或虚假的网络请求，来欺骗杀软并逃避检测。
样本格式分布
格式类别 占比 格式描述
BinExecute 80.0% 用于执行二进制文件的工具或实用程序
Archive 20.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Microsoft Constructor:DOS/Cregam
Kaspersky Constructor.DOS.Cregam
ESET-NOD32 Cregam Constructor
典型样本
类型 值
MD5 be0ddf867fe00955f000cc52a274b071
MD5 3343409dd645501e4b8ff81e7a83f3ad
MD5 8ca658615bf55b5dfbd4c9bda320e039
MD5 b7a445d9dee9ee0d254655db620eea43
MD5 7fadb4b7a6b0ae72256415f2ae2c7b1c
解决方案
更新和升级杀软软件，确保其具备最新的病毒识别能力，能够及时发现和清除此恶意软件。
定期进行系统和软件的安全更新，填补可能被此恶意软件利用的漏洞。
安装和配置防火墙设备，设置合适的规则，尽量减少DOS攻击对系统的影响。
使用入侵检测和防护系统，能够实时监测和阻止此类恶意攻击。
对网络流量进行监控和分析，找出异常流量和攻击特征，及时采取相应的防护措施。
教育和培训员工，提高对网络安全的意识和防范能力，减少此类恶意攻击的成功率。