Virus/DOS.Loz早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Loz存在DBinExecute、可执行文件等至少5种格式的样本，DBinExecute占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
高频率发送大量无效数据包：病毒感染后会不断发送无效数据包，占用目标系统的网络带宽和资源，导致网络延迟严重，甚至造成停机。
伪装IP地址：病毒会伪装成其他合法的IP地址发送攻击流量，增加攻击的隐蔽性。
攻击特定端口：病毒会选择目标系统上的特定端口进行攻击，从而影响目标服务的正常运行。
分布式攻击：病毒感染多台主机后，会协同进行分布式的DOS攻击，使得攻击威力更加强大。
绕过杀软检测：病毒具有自我隐藏和变异的能力，可以绕过常规杀软的检测和清除。
持久化感染：病毒会在目标系统中建立自启动项或植入到关键文件中，以确保在系统重新启动后能够重新感染系统。
样本格式分布
格式类别 占比 格式描述
DBinExecute 68.56%
BinExecute 13.04% 用于执行二进制文件的工具或实用程序
Generic 10.28% 不能确定具体类型的文件
Archive 5.27% 将文件或数据进行压缩和存储
Text 2.84% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet Loz.2968
Microsoft Virus:DOS/Loz
Kaspersky Virus.DOS.Loz.1915
ESET-NOD32 VBA/TrojanDownloader.Agent.LOZ
典型变种
Virus/DOS.Loz.1940
Virus/DOS.Loz.2968
Virus/DOS.Loz.677
Virus/DOS.Loz.684
Virus/DOS.Loz.cvr
典型样本
类型 值
MD5 0337d5dfc6507b836acf4ba3d0f39961
MD5 0c37ffe628b69cf72c90f63f48324b61
MD5 0a65100ca692064b028f5dcd4188da21
MD5 04e5bf70adcc7db8e40f35da1c3d87d1
MD5 076274ed721c36e1705323470abf9d91
解决方案
安装防火墙：配置合适的防火墙规则，限制对目标系统的入站和出站流量，阻止病毒发起的攻击。
更新杀软和补丁：及时更新杀软和操作系统的补丁，以修复已知漏洞，提高系统的安全性。
流量监测与限制：使用流量监测工具对网络流量进行实时监测，及早发现大量非正常的数据包流量。
强化访问控制策略：配置合理的访问控制策略，限制对敏感端口和服务的访问，减少攻击面。
网络入侵检测系统：部署网络入侵检测系统（NIDS），及时发现并拦截病毒发起的攻击行为。
加强员工安全意识培训：通过加强员工对网络威胁的认知和安全意识，避免不慎打开恶意附件或访问危险的链接，减少病毒感染的风险。