Virus/DOS.Ply早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Ply存在可执行文件、文本等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大规模的网络请求，占用大量带宽和资源，导致被攻击目标无法正常访问服务。
制造伪造的网络数据包，并以高速率发送给受害者，引发网络堵塞。
利用漏洞和未经授权的访问方式，远程操控其他计算机，将其作为僵尸网络的一部分参与攻击。
发起针对目标服务器的暴力破解，试图获取系统管理员权限。
修改系统配置文件，以阻止安全软件和防护机制的正常运行。
隐藏自身的活动轨迹，使用加密和rootkit技术逃避杀软的检测。
样本格式分布
格式类别 占比 格式描述
BinExecute 89.13% 用于执行二进制文件的工具或实用程序
Generic 4.71% 不能确定具体类型的文件
Text 3.26% 纯文字内容的文件
Archive 2.9% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/Cridex.PLY!tr
Microsoft Virus:DOS/Ply.3759
Kaspersky Virus.DOS.Ply.3495
ESET-NOD32 a variant of MSIL/Kryptik.PLY
典型变种
完整变种信息请查询 安天威胁情报系统
Virus/DOS.Ply.4143
Virus/DOS.Ply.5143
Virus/DOS.Ply.foz
Virus/DOS.Ply.3495
Virus/DOS.Ply.4722
典型样本
类型 值
MD5 0a074941c308b65e5754431fb0254951
MD5 115a442fdd687d50678303e77db38c61
MD5 100baca6d3e8d15922675309d5de0991
MD5 29ad3816e737cdc9afba0ecd8039cbb1
MD5 20f5060bcb2ea2380d95ec1b146b95b1
解决方案
防火墙设置和入侵检测系统能够准确识别和拦截异常流量和伪造数据包。
及时升级系统和软件，修补已发现的漏洞，以减少被攻击的风险。
安装可靠的安全软件和杀毒软件，及时更新病毒特征库，进行全盘扫描和实时保护。
配置安全策略，限制外部访问和远程连接，确保系统的安全性和权限管控。
加强对员工的安全意识教育，防止社会工程和恶意链接的攻击。
定期备份和恢复关键数据，以应对可能的数据损失和系统瘫痪。