Virus/DOS.Andrew早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Andrew存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为

绕过杀软检测：Virus/DOS.Andrew具有自我伪装能力，可以通过改变自身的特征来绕过杀软的检测与识别。
破坏文件系统：它会对计算机的文件系统进行破坏，使得用户无法正常访问和使用文件。
非法占用系统资源：该病毒会占用大量系统资源，导致计算机运行缓慢甚至崩溃。
网络攻击行为：病毒可能发起DDoS攻击、僵尸网络控制等网络攻击行为，威胁网络的安全稳定。
数据篡改：它可以篡改用户的数据，破坏数据的完整性和可用性。
启动项修改：该病毒会修改计算机的启动项，使得它每次开机时都自动运行，增加了清除的难度和风险。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Generic 33.33% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet BOOT/Andrew.GH
Microsoft Virus:DOS/Andrew.A
Kaspersky Virus.Boot.Stoned.March6.Andrew.a
ESET-NOD32 Andrew.A
典型变种

Virus/DOS.Andrew.yk
Virus/DOS.Andrew.634
典型样本

类型 值
MD5 35adaa4fd38e6306218c2409f0356731
MD5 0a2732f48a02c72bb9e14e78d00c4643
MD5 2ef3da5849c0eb72707b78c420553db3
MD5 a4ad954a9c9d63ece25c4bd90e9c2c18
MD5 54abbcc47a71d6719b6b1768a69c7480
解决方案

安装杀毒软件：及时安装可靠的杀毒软件，并保持病毒库的及时更新，以便及时发现和清除该病毒。
加强系统安全设置：合理设置系统防火墙、密码策略等安全配置，限制可疑程序的运行与访问。
定期备份重要数据：定期备份重要数据到可靠的外部存储介质，以免因病毒攻击导致的数据丢失。
注意邮件和下载附件的安全性：不打开来自不可信来源的邮件，不下载不明附件，以避免被病毒利用。
执行系统和软件的安全更新：及时安装系统和软件的安全更新补丁，关闭安全漏洞。
地址过滤和黑名单功能：配置防火墙和杀毒软件的地址过滤和黑名单功能，屏蔽已知恶意地址和病毒传播途径。