Worm/DOS.Lepha[IRC]的首个样本在2013年02月被安天捕获。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该Worm的主要行为是IRC，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前Worm/DOS.Lepha[IRC]存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为

Worm/DOS.Lepha[IRC] 可能会禁用防病毒软件，使其失效。
它会在系统中建立后门，以允许远程控制者进入受感染的计算机。
可能会对系统文件进行篡改，引起系统异常行为。
可能会利用系统资源进行大规模的网络攻击，如分布式拒绝服务攻击（DDoS）。
可能会搜集用户的敏感信息，造成隐私泄露。
可能会利用感染的计算机作为僵尸网络的一部分，参与更大规模的网络攻击。
样本格式分布
格式类别 占比 格式描述
BinExecute 80.0% 用于执行二进制文件的工具或实用程序
Archive 20.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet Lepha.A!worm.irc
Kaspersky IRC-Worm.DOS.Lepha
ESET-NOD32 Lepha

典型样本

类型 值
MD5 d16515219bb7ff4a6749cd1a08766143
MD5 e7cefc90e1c5706c928c1bc975e219b9
MD5 bc3f2fdfae794f8587c0f5c7fe21233c
MD5 36ab5ab106d74c389b3396f2d475989f
MD5 d052685e44160332af9cc90ee73b0254
解决方案

更新和启用防病毒软件，及时进行病毒库更新。
使用防火墙和安全软件加强系统的防护。
及时备份重要数据，并定期检查恶意软件。
升级操作系统和软件，修补已知的安全漏洞。
注意网络安全教育，提高用户的安全意识，避免点击不明链接。
如已受感染，应立即隔离感染的计算机，清除病毒，并进行系统恢复。