Virus/DOS.Em早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Em存在可执行文件、文本等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为

修改可执行文件：该病毒会修改可执行文件的文件头，从而使其无法正常运行，或者将病毒代码注入到可执行文件中。
修改系统引导区：它会修改系统引导区的代码，使系统在启动时执行病毒代码，从而导致系统崩溃或无法正常引导。
禁用防病毒软件：Virus/DOS.Em会尝试禁用或绕过已安装的防病毒软件，以避免被检测和清除。
数据破坏：它可以删除或修改文件、目录和磁盘上的数据，导致文件损坏或无法访问。
网络攻击：该病毒可以利用系统的网络连接进行攻击，例如进行分布式拒绝服务（DDoS）攻击，使目标系统无法正常运行。
蠕虫传播：它可以利用系统的网络共享或邮件系统，通过发送自身的副本来传播到其他系统，并在其他系统上执行破坏性的行为。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.29% 用于执行二进制文件的工具或实用程序
Generic 15.73% 不能确定具体类型的文件
Text 7.3% 纯文字内容的文件
Archive 10.11% 将文件或数据进行压缩和存储
DBinExecute 0.56%
其他厂商命名
厂商 命名
Fortinet VBS/Kryptik.EM!tr
Microsoft Virus:Win32/Expiro.EM!bit
Kaspersky HEUR:Backdoor.Linux.Mirai.em
ESET-NOD32 Python/PSW.Stealer.EM
典型变种

Virus/DOS.Em.1348
Virus/DOS.Em.byd
Virus/DOS.Em.bzw
Virus/DOS.Em.1303
典型样本

类型 值
MD5 003afd0ab39c6ae1a0eee64fd2aa9311
MD5 0ebf29ab77e4efff64f23343e393be81
MD5 04520135feb5fb561c88b6f4f9b0bbc1
MD5 1ff61e7e0e63d6417888708b159398a1
MD5 25ae4ae3ba57f7617484805d7ec98b21
解决方案

更新防病毒软件：及时更新防病毒软件的病毒库文件，以确保能够及时识别和清除该病毒。
禁用自动运行功能：关闭系统的自动运行功能，避免病毒通过感染可移动存储设备来传播。
定期备份数据：定期备份重要数据，并存放在安全的地方，以防止数据被破坏或无法访问。
注意下载来源：避免从不信任的来源下载文件或软件，以减少感染病毒的风险。
加强系统安全性：更新操作系统和应用程序的补丁，使用防火墙和安全策略来加强系统的安全性。
关注网络安全信息：及时关注网络安全事件和漏洞的公告，采取相应的措施来防范Virus/DOS.Em等病毒的攻击。