RiskWare/DOS.QScreen[Joke]早在2006年就已经出现。它是一种风险软件，为了实现某些确定的计算机业务功能而编写的程序，虽然不是为了恶意目的而编写，但有可能在攻击场景下转化为攻击工具。该风险软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该RiskWare的主要行为是Joke，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前RiskWare/DOS.QScreen[Joke]存在压缩文件、可执行文件至少两种格式的样本，压缩文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该风险软件形成相同命名。
病毒行为
文件篡改：病毒会修改系统中的一些关键文件，导致系统运行异常甚至崩溃。
进程注入：病毒会将恶意代码注入到正常进程中，以隐藏自身并增加清除的难度。
网络攻击：病毒会通过创建大量网络连接、发送大量垃圾数据等方式对网络进行攻击，影响正常网络使用。
关闭安全软件：病毒会禁用或关闭系统中的防病毒软件、防火墙等安全软件，为后续恶意行为提供条件。
隐私泄露：病毒可能会窃取用户的个人敏感信息，如账号密码、银行卡号等。
后门程序：病毒可能会在受感染的系统中植入后门程序，以便黑客远程控制系统。
样本格式分布
格式类别 占比 格式描述
Archive 63.64% 将文件或数据进行压缩和存储
BinExecute 36.36% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/QScreen.A!tr
Microsoft Joke:DOS/QScreen
Kaspersky Trojan.Win32.QScreen
典型样本
类型 值
MD5 3fdfa970c7838f09fb9b849700926a52
MD5 d533fd9bdff4ef73e654ba093552c106
MD5 8c9a939e2fd289d38e1ad440e07da0ed
MD5 d5a09df9aa376479fc9e8a74de3e0bf3
MD5 de40bda31e7c312af9a2823090ac1f6c
解决方案
使用安全软件：及时安装并更新权威的杀毒软件，增强系统的安全防护能力。
禁用自动运行：禁用系统的自动运行功能，避免病毒通过自动运行进行传播。
小心点击附件：避免随意点击不明来源的电子邮件附件，以免被病毒利用。
注意网络安全：加强对网络安全的意识，在不明来源的网站上不随意下载、点击可疑链接。
定期备份重要数据：定期对重要的个人和工作数据进行备份，以便在系统受感染时能够恢复数据。
系统更新：及时安装系统的补丁和更新，修复已知的安全漏洞。