Virus/DOS.Bomber早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Bomber存在压缩文件、文本等至少5种格式的样本，压缩文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大规模分布式拒绝服务攻击，使目标服务器负载过高，无法正常工作；
利用僵尸网络（Botnet）发起攻击，阻断目标服务器的网络连接；
伪装成合法流量，难以被杀软和IDS/IPS检测到；
利用网络蠕虫技术自我复制并感染其他主机，扩大攻击规模；
修改系统配置和关键文件，破坏目标机器的正常功能；
劫持用户浏览器，篡改用户的网络流量和敏感信息。
样本格式分布
格式类别 占比 格式描述
Archive 40.0% 将文件或数据进行压缩和存储
Generic 28.0% 不能确定具体类型的文件
Text 16.0% 纯文字内容的文件
BinExecute 8.0% 用于执行二进制文件的工具或实用程序
Document 8.0% 指包含文本、图像或其他数据的文件
其他厂商命名
厂商 命名
Fortinet VBA/Bomber.46B3!tr.dldr
Microsoft Trojan:Win32/Bomber
Kaspersky SMS-Flooder.Win32.Bomber.ab
ESET-NOD32 Win32/Spammer.SMS.Bomber.B
典型变种
无
典型样本
类型 值
MD5 0857cca5a50f27ebf5f360ceca1fa021
MD5 c2edf6a2606daacd4c18c6ad46e39081
MD5 36a24c621995c80d0cfc8dde350acf42
MD5 87cc28f2a4de8a892c32ca6b553c0f02
MD5 e7e02b16264c1e06b9f3a93f73b78d26
解决方案
定期更新杀软和防火墙软件，并确保其处于最新版本；
加强网络安全意识培训，提高用户对恶意链接和文件的警惕性；
配置合理的网络设备策略，阻止来自可疑IP地址的流量；
部署入侵检测系统（IDS）和入侵防御系统（IPS），及时发现和阻击攻击行为；
使用反向代理、负载均衡等技术来分散和抵御DDoS攻击；
对受感染的主机进行隔离和彻底清除病毒，修复受损的系统文件和配置。