Virus/DOS.Datalock早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Datalock存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
修改系统注册表，以隐藏自己的存在和启动方式。
结束或禁用防火墙和杀毒软件，使得系统无法及时检测和清除病毒。
拦截系统的安全更新和补丁，以保证自身的安全性，阻碍系统的修复工作。
模拟合法的网络通信，以便从远程服务器获取进一步的指令和更新自身。
利用系统漏洞和弱点进行传播和感染其他计算机，形成病毒传播网络。
通过加密和编码技术保护自己的文件和进程，增加逆向分析和清除的难度。
样本格式分布
格式类别 占比 格式描述
BinExecute 78.95% 用于执行二进制文件的工具或实用程序
Archive 16.67% 将文件或数据进行压缩和存储
Generic 3.51% 不能确定具体类型的文件
DBinExecute 0.88%
其他厂商命名
厂商 命名
Fortinet DataLock.1740
Microsoft Virus:DOS/Datalock
Kaspersky Virus.DOS.Datalock.1043
ESET-NOD32 a variant of Datalock.920.A
典型变种
Virus/DOS.Datalock.bod
Virus/DOS.Datalock.b
Virus/DOS.Datalock.bmm
Virus/DOS.Datalock.1043
Virus/DOS.Datalock.bjk
典型样本
类型 值
MD5 16f383b4d267b53fb793abfaf9081a91
MD5 2a3fdc3e247936588b4b3f7b889e6f01
MD5 2648fc493fedaee63df632ec6b8cb671
MD5 4c805cdcf46bc13dc216a14e61f4c991
MD5 782dea1f82c16c48afe51c19589b8661
解决方案
更新杀毒软件的病毒库，并进行全盘扫描，确保病毒得到及时的检测和清除。
使用专业的反病毒工具进行深度清除，以确保病毒的各个部分都被完全清除。
定期备份重要数据，以防止数据损失和被病毒锁定。
安装防火墙和加强网络安全措施，以减少病毒传播的可能性。
及时安装系统更新和补丁，以修复系统的漏洞和弱点。
在网络使用过程中保持警惕，避免点击来路不明的链接和下载不明来源的文件，以降低感染病毒的风险。