Virus/DOS.VCL-based早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该感染式病毒变种数量有5种，但却经历了大量的免杀加工，以至样本Hash数量近1212。目前Virus/DOS.VCL-based存在可执行文件、文本等至少6种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，由于该感染式病毒的变种变化较大，安全厂商依托不同的检测方式进行检测覆盖，其中Microsoft，Fortinet等安全厂商给出了不同的命名。
病毒行为
操纵系统资源：此病毒利用VCL编程语言的特性，改变系统资源的分配和使用，导致系统运行缓慢甚至崩溃。
篡改系统文件：病毒会修改系统文件，使得操作系统无法正常启动或运行，从而瘫痪整个系统。
干扰网络通信：该病毒会通过篡改网络协议和数据包，干扰网络通信，造成网络拥堵，使正常的网络连接变得困难。
引起数据损坏：病毒会针对用户的数据文件进行破坏或删除，导致重要数据的丢失。
修改系统设置：病毒会对系统设置进行修改，包括注册表、启动项等，使得系统难以恢复正常状态。
对抗杀软程序：病毒能够检测和绕过杀软程序的检测和防护机制，从而保持存在并继续对系统进行破坏。
样本格式分布
格式类别 占比 格式描述
BinExecute 31.54% 用于执行二进制文件的工具或实用程序
Generic 28.12% 不能确定具体类型的文件
Text 22.39% 纯文字内容的文件
Archive 16.47% 将文件或数据进行压缩和存储
DOS 0.93%
DBinExecute 0.56%
其他厂商命名
厂商 命名
Fortinet W32/Mirc-based!tr.bdr
Microsoft Virus:DOS/VCL.GR1
Kaspersky Virus.DOS.VCL-based.trojan
ESET-NOD32 VCL-based.Danzig
典型变种
Virus/DOS.VCL-based.339
Virus/DOS.VCL-based.trojan
Virus/DOS.VCL-based.companion
Virus/DOS.VCL-based.gic
Virus/DOS.VCL-based.343
典型样本
类型 值
MD5 0765712beea57cabb56f5a921c2958b1
MD5 07dbe7ab15458951d92e5ac2c4dab8e1
MD5 04bdf32b0586c6419e9c2283063ab6d1
MD5 0bdbc28ae39946112a26dd8b9c1ac5a1
MD5 069cbcbb23f17a45fe175c70fa1f7281
解决方案
更新安全软件：及时更新杀软程序的病毒库，以获取对该病毒的识别和防护能力。
扫描系统：利用安全软件对系统进行全面扫描，排除病毒的存在，并修复受损的系统文件。
加强系统安全性：采取严格的系统安全设置，限制外部程序的运行和修改系统设置的权限。
提高用户安全意识：加强对用户的安全培训和教育，提醒用户不要轻信和下载可疑的文件和链接。
建立系统备份：定期备份系统和重要数据，以便在受到病毒攻击时能够快速恢复系统和数据。
手动清除病毒：如有必要，可以采取手动清除病毒的方法，删除相关的文件和注册表项。