Virus/DOS.DrJohn早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.DrJohn存在可执行文件、DOS等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为

Virus/DOS.DrJohn会对磁盘上的存储数据进行破坏，导致文件损坏或无法访问。
它会修改系统的启动扇区，使得系统在每次启动时都会运行病毒代码。
该病毒在内存中常驻，会监听特定的系统调用，以便在适当的时机执行破坏性的操作。
它会感染系统中的可执行文件，使得这些文件在运行时也会激活病毒代码。
Virus/DOS.DrJohn还会通过网络传播自身，感染其他主机，形成病毒蔓延的效应。
该病毒具有自我保护机制，会尝试禁用或绕过杀软，以免被检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 42.86% 用于执行二进制文件的工具或实用程序
Generic 42.86% 不能确定具体类型的文件
DOS 14.29%
其他厂商命名
厂商 命名
Fortinet DrJohn.2000.A
Kaspersky Virus.DOS.DrJohn.2000
典型变种

Virus/DOS.DrJohn.cyy
Virus/DOS.DrJohn.2000
典型样本

类型 值
MD5 31eadf1322084bc8beaac4df18cf38d6
MD5 cd2f6d4856d3f80bff5025fb7ebe86d6
MD5 12a88360907deb3f047ab8f7418e686d
MD5 527e24600577220520337264d54b833d
MD5 a1f2e3e31b94db650b20a8e0101c8eb3
解决方案

更新杀软软件和病毒库，确保可以识别和清除Virus/DOS.DrJohn。
使用可信赖的工具对系统进行全面扫描，并删除所有感染文件。
恢复被破坏的文件，如果有备份，可以通过替换受感染文件来恢复数据。
手动清除启动扇区感染，可以使用专门的工具或命令来修复受损的启动扇区。
加强计算机的安全策略，限制外部设备的访问权限，防止病毒通过可移动介质进行传播。
定期备份重要数据，以防止病毒感染导致数据丢失。