Virus/DOS.Scrunch早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Scrunch存在压缩文件、文本等至少4种格式的样本，压缩文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
感染并复制自身，将其副本分散到其他计算机上，形成一个僵尸网络。
探测目标网络或网站的弱点，以便发起更有针对性的攻击。
利用感染计算机的多个IP地址进行分布式攻击，以增加攻击强度和隐蔽性。
通过模拟用户请求大量访问目标网络，造成网络拥塞，使其无法响应合法用户。
干扰或破坏网络设备、服务器或防火墙的正常运行，从而通过混淆网络防御策略来逃避侦查和清除。
发起精心构造的欺骗攻击，试图迷惑反病毒软件的检测和清除能力。
样本格式分布
格式类别 占比 格式描述
Archive 31.03% 将文件或数据进行压缩和存储
Text 31.03% 纯文字内容的文件
BinExecute 27.59% 用于执行二进制文件的工具或实用程序
Generic 10.34% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Kaspersky Virus.DOS.Scrunch.420
ESET-NOD32 Psmpc.Scrunch.442
典型变种
Virus/DOS.Scrunch.423
Virus/DOS.Scrunch.qe
Virus/DOS.Scrunch.qh
Virus/DOS.Scrunch.1343
Virus/DOS.Scrunch.420
典型样本
类型 值
MD5 1874c36821c0f9cf76510af5b1dc55b1
MD5 29f2b30d2b7d0ef1e905f6cde8596306
MD5 70589bf4cc4f817c1930c8316bdd73d2
MD5 f78f3299a6e4cba3692d9f422a273006
MD5 af2db07eb136f63ca1d24a49a66a47cd
解决方案
定期更新操作系统、防火墙和反病毒软件，确保其具备最新的安全性补丁和病毒库。
使用可信任的安全软件来监测、检测和清除病毒，并定期进行全盘扫描。
设置网络防火墙，限制对非必要的网络服务和端口的访问。
使用入侵检测系统（IDS）或入侵防御系统（IPS）来检测和阻止病毒攻击。
教育员工提高警惕，不随意点击未知来源的邮件附件或下载不明文件。
定期备份重要数据并存储在不同地点，以便在感染或数据丢失时进行恢复和重建。