Virus/DOS.NCBoot的首个样本在2013年02月被安天捕获。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.NCBoot存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为

修改主引导记录(MBR)或引导扇区，使系统启动时加载病毒代码。
在系统启动时自动激活，深藏于系统内核，难以被杀毒软件查杀。
向其他存储设备传播，影响其他硬盘或USB设备。
对系统重要文件进行破坏或篡改，导致系统异常运行。
通过操纵系统内核，干扰系统正常运行，可能导致蓝屏或死机。
对抗杀软，通过多方技术手段逃避杀毒软件的检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet BOOT/NCBoot.DRP!tr.dr
Microsoft Virus:DOS/Ncboot.dr
Kaspersky Trojan-Dropper.Boot.NCBoot
典型变种

Virus/DOS.NCBoot.dr
典型样本

类型 值
MD5 0179dd536b90362ed9f1e8df15829662
MD5 42e1c6b3af36bb78e3b9094f1828c385
MD5 dbb887dc65ec30dfd273a349de282d90
解决方案

清除Virus/DOS.NCBoot的方法：
及时安装并更新杀毒软件，对系统进行全盘扫描，清除病毒文件。
使用特定的病毒清除工具，针对Virus/DOS.NCBoot进行专门清除。
恢复系统至干净的备份状态，确保系统文件得到恢复。
修复受损的主引导记录(MBR)，恢复系统引导正常。
避免使用未知来源的可疑软件和文件，减少感染风险。
进行系统加固，提高系统的安全性，防止病毒再次感染。