Trojan/DOS.Hellfire早在2009年就已经出现。它属于特洛伊木马,是一类以严重侵害运行系统的可用性、完整性、保密性为目的,或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件,主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Hellfire存在文本、脚本文件等至少3种格式的样本,Generic占绝大部分。除安天外,基于样本的命名对比分析,当前至少4个安全厂商对其进行命名,安全厂商对其行为分析较为清晰,检测的方式基本一致,对该特洛伊木马形成相同命名。
病毒行为
欺骗用户下载和执行病毒文件,通常通过伪装成有吸引力的程序或者文档来引诱用户点击。
启动时自动隐藏并在后台运行,使用户难以察觉到其存在。
修改系统设置以开启自动启动,并对抗杀软的监测和删除,确保自身可以长期存在于被感染系统中。
收集用户的敏感信息,包括账号密码、银行卡信息等,用于非法的盗用或者散播。
利用系统安全漏洞攻击其他网络资源,例如发起DDoS攻击等。
通过后门程序远程操控用户计算机,盗取个人隐私或进行其他非法活动。
样本格式分布
格式类别 占比 格式描述
Generic 42.86% 不能确定具体类型的文件
Text 42.86% 纯文字内容的文件
Script 14.29% 指包含编程代码的文件,可以被解释器执行
其他厂商命名
厂商 命名
Fortinet BAT/Hellfire.B!tr
Microsoft Worm:DOS/Hellfire
Kaspersky Virus.DOS.Hellfire.1133
ESET-NOD32 IRC/Hellfire.A
典型变种
Trojan/DOS.Hellfire.b
Trojan/DOS.Hellfire.a
Trojan/DOS.Hellfire.c
典型样本
类型 值
MD5 6ff5ff5e1949ab5ec84560a451de65d6
MD5 7fec19bfb997d86084504af623e23ec3
MD5 15e4ae0accdf12621dec38ad70eade1a
MD5 a8a4cf0f0255751981d83495432876da
MD5 652e9898786af19c5e42b0d42ec168e7
解决方案
及时安装并更新杀毒软件,确保杀毒软件的病毒库与最新病毒保持同步。
不轻易点击未知来源的文件,尤其是可执行文件或文档,以防止下载和执行恶意软件。
定期备份重要数据,以防止数据丢失或被黑客攻击。
使用防火墙来限制网络流量,并配置合适的访问控制策略,阻止未经授权的访问。
及时修补系统漏洞,安装官方提供的补丁程序,以减少病毒利用漏洞的机会。
进行定期的系统安全扫描和清理,以确保计算机没有被恶意软件感染。
Trojan/DOS.Hellfire
评论