Trojan/DOS.Riot早在2006年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Riot存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Riot会禁用杀软的自动更新功能，使得杀软无法获取最新的病毒库进行检测。
该病毒会修改注册表，以阻止杀软程序进行运行。
Trojan/DOS.Riot会监视用户的网络活动，并尝试窃取敏感信息。
它会利用系统资源，导致系统变得非常缓慢。
该病毒还会尝试通过网络下载其他恶意软件进行进一步感染。
Trojan/DOS.Riot会在系统启动时自动运行，以保证持久性感染。
样本格式分布
格式类别 占比 格式描述
BinExecute 40.0% 用于执行二进制文件的工具或实用程序
Generic 30.0% 不能确定具体类型的文件
Archive 30.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet Riot.308
Microsoft Virus:DOS/Riot
Kaspersky Virus.DOS.Riot.Conjurer.433
ESET-NOD32 Riot.Overdoze.472
典型变种
Trojan/DOS.Riot.b
Trojan/DOS.Riot.c
Trojan/DOS.Riot.a
典型样本
类型 值
MD5 2fa1fc9bc40dde6d5d7f2b7e05ad3482
MD5 65ad45d2b511c4c174bf2a5b4b458f82
MD5 1ae9c2b3be49439313e88799167e8c29
MD5 1cedd271409440bc56e4989e47e2a899
MD5 ec7c29a36f4b7f3b27aa1d7891da18a9
解决方案
更新杀软程序至最新版本，并手动进行病毒库的更新。
手动清理注册表中病毒相关的条目，确保杀软程序能够正常运行。
运行全面系统扫描，检测并清除受感染的文件。
优化系统资源管理，限制不必要的后台进程。
使用防火墙、入侵检测系统等安全工具，加强网络安全防护。
对重要数据进行备份，并定期进行检查和更新。