Virus/DOS.Ambulance早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Ambulance存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
Virus/DOS.Ambulance会试图禁用计算机上的防火墙和安全软件，以避免被检测和清除。
它会利用系统的漏洞，通过网络传播和感染其他计算机。
该病毒会创建大量的垃圾文件和进程，占用计算机系统的资源，导致系统运行缓慢甚至崩溃。
它还可能修改系统的注册表和关键文件，以保证自身的启动和隐藏。
Virus/DOS.Ambulance可能会利用网络连接进行DDoS攻击，导致网络服务不可用。
该病毒还可能窃取用户的敏感信息，如个人账户和密码。
样本格式分布
格式类别 占比 格式描述
BinExecute 40.7% 用于执行二进制文件的工具或实用程序
Archive 30.65% 将文件或数据进行压缩和存储
Generic 20.6% 不能确定具体类型的文件
Text 6.03% 纯文字内容的文件
DOS 2.01%
其他厂商命名
厂商 命名
Fortinet Ambulance.796
Microsoft Virus:DOS/Ambulance
Kaspersky Virus.DOS.Ambulance.795
ESET-NOD32 Ambulance.796.A
典型变种
Virus/DOS.Ambulance.bep
Virus/DOS.Ambulance.a
Virus/DOS.Ambulance.793
Virus/DOS.Ambulance.795
Virus/DOS.Ambulance.b
典型样本
类型 值
MD5 00b119bd645e8eff6e767cccf6480601
MD5 8242f1d63075ccc00840ea71e9208de1
MD5 9348533a31c89317797ce8b1b0fc4031
MD5 add8c010e21e1736b1fc13740faebc11
MD5 a31ebb2ec04b3c1d55d163fed53e1cd1
解决方案
更新和安装最新的防病毒软件，确保其能够识别和清除Virus/DOS.Ambulance。
定期进行系统和软件的更新，以修复可能被利用的漏洞。
启用防火墙，并限制可信任的网络连接。
定期进行完整系统扫描和病毒检测。
尽量避免点击可疑的链接或下载来自不受信任的来源的文件。
备份重要的数据和文件，以防止在受感染时遭受数据丢失。