Trojan/DOS.Imitator的首个样本在2013年02月被安天捕获。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Imitator存在压缩文件、可执行文件等至少3种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为

Trojan/DOS.Imitator会通过发送大量的网络请求来消耗目标系统的带宽资源。
它可以伪装成合法的网络流量，以规避杀软的检测。
Trojan/DOS.Imitator可以使用多个不同的攻击向量，如SYN洪水攻击、UDP洪水攻击等。
它可以模拟多个源IP地址发起攻击，增加攻击的难度和威力。
Trojan/DOS.Imitator还具备持久化的能力，会在感染的系统上安装后门程序，以便攻击者远程控制系统。
它可以修改系统配置，关闭安全防护机制，使系统更易受攻击。
样本格式分布
格式类别 占比 格式描述
Archive 33.33% 将文件或数据进行压缩和存储
BinExecute 33.33% 用于执行二进制文件的工具或实用程序
Generic 33.33% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet W32/Imitator!tr
Microsoft Trojan:Win32/Imitator
Kaspersky Trojan.DOS.Imitator
ESET-NOD32 Imitator.A

典型样本

类型 值
MD5 22be4cba0d963078c81b56a34c6f9196
MD5 8756cfbad7394d33542aafc61c198f67
MD5 a629e28d1be4ed6c1188ff882aa1e05b
MD5 de4380b6a1cb48e7a94162c13d6b754b
解决方案

及时更新杀软程序及病毒库，以确保对Trojan/DOS.Imitator的识别和防护能力。
配置网络防火墙，限制来自外部的大量网络流量，减少DOS攻击的影响。
定期检查系统和网络流量，发现异常行为及时采取相应的应对措施。
加强系统安全设置，限制访问权限，阻止恶意程序的入侵和扩散。
增加系统硬件资源，增强系统的抗压能力，减少DOS攻击对系统的影响。
使用网络入侵检测系统（IDS）和入侵防御系统（IPS）来检测并阻止恶意流量的传输。