HackTool/DOS.BWG[Constructor]早在2006年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.BWG[Constructor]存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
发送大量的数据包或者无效的请求来占用网络带宽和系统资源。
利用多个IP地址进行分布式拒绝服务（DDoS）攻击，令目标系统无法正常响应用户请求。
通过发送大量的PING包或者ICMP包导致目标系统的网络堵塞。
利用程序漏洞进行系统资源耗尽，如占用大量CPU、内存或是磁盘空间。
通过修改系统配置文件或运行时库文件来破坏系统的正常运行。
植入后门程序，使攻击者能够远程控制目标系统。
样本格式分布
格式类别 占比 格式描述
BinExecute 70.8% 用于执行二进制文件的工具或实用程序
Archive 26.11% 将文件或数据进行压缩和存储
Text 2.21% 纯文字内容的文件
Script 0.88% 指包含编程代码的文件，可以被解释器执行
其他厂商命名
厂商 命名
Fortinet BAT/BWG.BWG!tr
Microsoft Virus:BAT/BWG.D.gen
Kaspersky HEUR:Email-Worm.BAT.BWG.gen
ESET-NOD32 JS/Kryptik.BWG
典型变种
HackTool/DOS.BWG.407[Constructor]
HackTool/DOS.BWG.403[Constructor]
HackTool/DOS.BWG.2_06[Constructor]
HackTool/DOS.BWG.105[Constructor]
HackTool/DOS.BWG.404[Constructor]
典型样本
类型 值
MD5 4d8dbc7153e4e723068dceec22907201
MD5 497760ca44a3f707d111bf45e0bfe5a1
MD5 6d3c63b2242ea549583d41c717adb1e1
MD5 776aa66779b5311c3a0f93779a993861
MD5 895639fc7c697eb41c80e483b3bce191
解决方案
及时更新和升级防火墙和杀毒软件，确保其能够检测和阻止HackTool/DOS.BWG[Constructor]的行为。
架设合适的防DDoS设备，可以根据流量进行过滤和防护，减轻受攻击系统的负担。
针对已知的漏洞进行修补和补丁升级，以减少HackTool/DOS.BWG[Constructor]可能利用的机会。
配置网络设备，限制连接和请求的数量，以减轻网络拥堵的压力。
定期备份和存档重要数据，并保持离线状态，以防止数据损坏或丢失。
加强员工的安全意识教育，提供相关培训和指导，以防止HackTool/DOS.BWG[Constructor]通过社工手段进入系统。