Virus/DOS.Sanga早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Sanga存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大量的伪造TCP连接请求，占用系统的网络资源，导致网络拥塞。
向目标主机发送大量的IP数据包，消耗目标系统的带宽和处理能力。
利用系统漏洞进行攻击，例如发送特定的数据包来引发缓冲区溢出。
注入恶意代码到其他进程中，通过感染其他文件和进程扩散。
修改系统的关键文件和注册表项，破坏系统的正常运行。
隐藏自身的轨迹，以免被杀软和系统安全工具检测到。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Sanga.1185
Microsoft Virus:DOS/Sanga
Kaspersky Virus.DOS.Sanga.1193
典型变种
Virus/DOS.Sanga.bnf
Virus/DOS.Sanga.1019
Virus/DOS.Sanga.1193
Virus/DOS.Sanga.btx
Virus/DOS.Sanga.btb
典型样本
类型 值
MD5 76dbfd6549814a6f07a6c671ceec9742
MD5 ccdd331350891aac4af6fbbc0da8bf86
MD5 d4866c5b403828482a9459b8928b8412
MD5 16819da021ff07579bc383d52bbb7a8d
MD5 a8a5bf3a631bb156014d0fb6b8d38b1d
解决方案
及时更新杀软和系统补丁，以防止病毒利用已知漏洞进行攻击。
配置防火墙和入侵检测系统，限制恶意流量的进入。
在网络设备上设置访问控制列表，过滤恶意流量。
使用网络流量分析工具监控网络流量，及时发现异常流量。
对重要系统进行备份，以防病毒造成的数据丢失和损坏。
定期进行系统安全检查和全面的杀毒扫描，确保系统的安全性。