Virus/DOS.Search早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Search存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
利用僵尸网络：该病毒会通过控制大量的僵尸计算机来发起分布式拒绝服务（DOS）攻击，在短时间内向目标系统发送大量的网络请求，从而耗尽目标系统的资源。
改变系统资源使用方式：该病毒会修改目标系统的配置文件，将系统资源优先分配给恶意程序，使正常应用程序无法获得足够的资源，导致系统运行缓慢甚至崩溃。
干扰网络通信：病毒会截取目标系统的网络通信，篡改数据包内容，造成通信错误或信息泄漏，使目标系统无法正常与其他设备通信。
携带后门程序：Virus/DOS.Search会携带后门程序，通过开放系统漏洞等方式，使攻击者可以远程控制受感染的系统，并进一步扩大攻击范围。
修改系统注册表：该病毒会修改目标系统的注册表，以保证自身的持久存在，并防止杀软的检测和清除。
植入恶意代码：病毒会将恶意代码植入目标系统的可执行文件、系统程序等，使其在系统运行时启动，并继续执行病毒的恶意行为。
样本格式分布
格式类别 占比 格式描述
BinExecute 36.02% 用于执行二进制文件的工具或实用程序
Archive 28.81% 将文件或数据进行压缩和存储
Generic 23.31% 不能确定具体类型的文件
Text 10.17% 纯文字内容的文件
DBinExecute 1.69%
其他厂商命名
厂商 命名
Fortinet JS/Search.BBEE!exploit
Microsoft Virus:DOS/Search
Kaspersky Virus.DOS.Search.208
ESET-NOD32 Search.302
典型变种
Virus/DOS.Search.ml
Virus/DOS.Search.357
Virus/DOS.Search.309
Virus/DOS.Search.lt
Virus/DOS.Search.nm
典型样本
类型 值
MD5 03586f43b2f89e8cf461f5352728bbc1
MD5 1418c280062bd03d88ba42f749948301
MD5 12e995e29c6379ac696b252cc59fabf1
MD5 1ceb4e909f0eee69f44e9c5366a87201
MD5 66fd7a30e95a9564f4ac8147c50e55e1
解决方案
使用防火墙和入侵检测系统：及时发现并拦截病毒发起的攻击流量，防止其进一步传播。
更新杀毒软件：及时更新杀毒软件的病毒库，保持杀毒软件的最新版本，提高病毒的检测和清除能力。
加强系统安全配置：限制系统对外开放的服务和端口，禁用不必要的功能，减少系统被攻击的风险。
增强密码安全性：定期更新系统和应用程序的密码，避免使用弱密码，加强用户身份验证措施。
定期备份重要数据：确保重要数据的备份工作得到妥善执行，防止数据丢失或被病毒加密。
提高员工安全意识：加强员工对安全威胁的认识和培训，提高其对病毒攻击的警惕性，减少点击恶意链接或下载未经验证的附件的风险。