Worm/DOS.Sonic[Email]早在2009年就已经出现。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该Worm的主要行为是Email，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前Worm/DOS.Sonic[Email]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为

使用伪装成正常文件或相关合法软件的方式隐藏身份，欺骗用户打开或点击
自动复制自身至系统指定位置，并修改系统设置，使其自动启动
发送恶意邮件至用户通讯录中其他联系人，进一步传播病毒
监控用户的网络活动和敏感信息，窃取个人隐私数据
对抗常见的杀毒软件和防护机制，动态变化以逃避检测
发起拒绝服务攻击（DOS），占用系统资源、使系统稳定性下降
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Sonic.55@mm
Microsoft Worm:Win32/Sonic@mm
Kaspersky Email-Worm.Win32.Sonic.b
ESET-NOD32 Sonic.B.Unp
典型变种

Worm/DOS.Sonic.5447[Email]
典型样本

类型 值
MD5 afd4c54edfdd7d812b52d5c11b92ba27
MD5 0bfa84cf0032478143f979d826555008
MD5 eb1c379e537ec1d00f01ed8b6bfbde98
解决方案

定期更新杀毒软件和防火墙，及时检测和阻止病毒入侵
谨慎打开未知邮件附件和链接，避免误点击下载不明文件
维持系统安全更新，修补系统漏洞以减少攻击面
备份重要数据并定期存档，以防数据丢失或被篡改
配置网络安全策略和权限控制，限制不必要的网络访问
在网络病毒攻击发生时，立即隔离感染主机，清除病毒并恢复数据