RiskWare/DOS.SimulatedVirus[Tool]早在2006年就已经出现。它是一种风险软件，为了实现某些确定的计算机业务功能而编写的程序，虽然不是为了恶意目的而编写，但有可能在攻击场景下转化为攻击工具。该风险软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该RiskWare的主要行为是Tool，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前RiskWare/DOS.SimulatedVirus[Tool]存在压缩文件、可执行文件等至少4种格式的样本，压缩文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少1个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该风险软件形成相同命名。
病毒行为
模拟病毒传播：该病毒会利用系统漏洞，通过传统的病毒传送程式进行传播，如通过电子邮件、文件共享、移动存储设备等方式，以模拟真实病毒的传播行为。
对抗杀软：RiskWare/DOS.SimulatedVirus[Tool]会主动检测系统中的杀软和安全防护软件，并采取相应的对抗措施，例如修改或禁用杀软的关键功能，以保证自身的持久性和隐蔽性。
窃取敏感信息：该病毒还可能利用系统漏洞或后门程序，窃取用户的敏感信息，如个人账号、密码、银行账户等，以便进行非法活动或进行针对用户的攻击。
破坏系统文件：为了对抗杀软和系统防御机制，RiskWare/DOS.SimulatedVirus[Tool]会篡改系统关键文件、注册表项等，以破坏系统的稳定性和正常运行。
创建僵尸网络：病毒也可能利用感染的计算机建立僵尸网络，将被感染的计算机作为控制节点，用于发起大规模的网络攻击和分布式拒绝服务（DDoS）攻击。
密码破解：该病毒还可能利用破解技术和暴力破解手段，攻击系统的密码和安全机制，以获取更高的权限和操控权。
样本格式分布
格式类别 占比 格式描述
Archive 81.08% 将文件或数据进行压缩和存储
BinExecute 10.81% 用于执行二进制文件的工具或实用程序
Document 5.41% 指包含文本、图像或其他数据的文件
Generic 2.7% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Microsoft Tool:DOS/SimulatedVirus.B
典型变种
RiskWare/DOS.SimulatedVirus.b[Tool]
RiskWare/DOS.SimulatedVirus.c[Tool]
RiskWare/DOS.SimulatedVirus.a[Tool]
典型样本
类型 值
MD5 3463de2661c9545185ef95c6627beb91
MD5 1493c28658047616532610cc4555f122
MD5 16b872a8c1af6196f1f677297e5969d6
MD5 e871f18c0a6ac8a7e02fe352aafb3c92
MD5 e332b262ee6721eff30645755ea3ba52
解决方案
安装并定期更新杀毒软件和防火墙：选择一款可信的杀毒软件，并及时更新病毒库和软件版本，以提高系统的防御能力。
更新操作系统和软件：定期安装操作系统和软件的安全补丁和更新，以修复已知漏洞，减少系统的易受攻击性。
谨慎点击链接和下载附件：避免点击不明来源的链接和下载、打开来历不明的邮件附件，以防止病毒通过电子邮件传播入侵系统。
禁用自动运行功能：关闭系统的自动运行功能，避免病毒利用U盘等外部存储设备的自动运行特性感染系统。
尽量使用正版软件：避免使用盗版和非官方渠道下载的软件，以减少病毒感染的风险。
加强用户教育和安全意识：加强对用户的安全教育，提高其对病毒的认识和防范意识，避免不明身份的软件和文件的安装和使用。