RiskWare/DOS.PassViewer[PSWTool]早在2009年就已经出现。它是一种风险软件，为了实现某些确定的计算机业务功能而编写的程序，虽然不是为了恶意目的而编写，但有可能在攻击场景下转化为攻击工具。该风险软件关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该RiskWare的主要行为是PSWTool，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前RiskWare/DOS.PassViewer[PSWTool]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该风险软件形成相同命名。
病毒行为
它会监视用户的键盘输入，记录下用户在浏览器或其他应用程序中输入的账户名和密码，窃取用户的敏感信息。
它可以自动识别并躲避杀软程序的监测，以避免被发现和清除。
该病毒能够隐藏自己的文件和进程，使其在系统中难以被察觉。
它能够与其他恶意软件合作，形成更加危险的攻击链，进一步危害用户的信息安全。
RiskWare/DOS.PassViewer[PSWTool]还可以通过网络传播，感染其他计算机，并形成一个恶意软件网络，扩大其攻击范围。
它可以修改系统的注册表和配置文件，以便在系统重启后自动启动并完成其恶意行为。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Riskware/PassViewer
Microsoft HackTool:MSIL/PassViewer.A
Kaspersky not-a-virus:PSWTool.Win32.PassViewer.e
ESET-NOD32 Win32/RiskWare.PassViewer
典型变种
RiskWare/DOS.PassViewer.a[PSWTool]
典型样本
类型 值
MD5 3597eedf8a64369d480d80b16fb45809
MD5 1452ebf0558ab0dff1b4469e0993082c
MD5 4c273d86e264f6c394b3b1562ce084ba
MD5 d25642cb063cbf7bb2c36676b380a5ca
解决方案
及时更新杀毒软件，保持其病毒库的最新版本，并进行全盘扫描，确保检测并清除病毒。
定期备份重要的文件和数据，以防止数据丢失或被恶意软件篡改。
不随意下载和安装来历不明的软件，尽量在官方渠道下载软件，并检查软件的数字签名以确保其安全性。
避免点击未知来源的链接和打开陌生人发送的邮件附件，以减少感染风险。
经常更新操作系统和应用程序的补丁程序，以修复漏洞，防止病毒利用系统漏洞进行感染。
加强网络安全意识培训，提高用户对恶意软件的识别能力，避免不必要的风险。