Trojan/DOS.Format1000早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Format1000存在压缩文件、可执行文件等至少4种格式的样本。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
修改DOS格式文件的数据结构，导致文件无法被正常读取。
毁坏文件内部指针，造成文件引用错误，无法被其他程序识别。
在DOS格式文件中插入恶意代码，使得文件在被执行时触发病毒的激活和传播。
修改文件的属性和扩展名，使得用户无法辨认文件类型和内容。
在被感染的文件所在目录中释放恶意文件，以进一步感染其他DOS格式文件。
对抗杀软的行为，包括运行时隐藏自身进程、修改系统文件，以阻碍杀软的扫描和清除工作。
样本格式分布
格式类别 占比 格式描述
Archive 25.0% 将文件或数据进行压缩和存储
BinExecute 25.0% 用于执行二进制文件的工具或实用程序
DBinExecute 25.0%
Generic 25.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Microsoft Trojan:Win32/Format1000
Kaspersky Trojan.DOS.Format1000
典型样本
类型 值
MD5 8ebd7ba388ad7cea33abc5cd62927ee2
MD5 0ccdc7be52f98b4255d42c0ac7ea5869
MD5 e6948a2a4830a4a982564c4153a11d8a
MD5 93cabdca7ba4a6d592402dd48c806bfb
解决方案
及时更新杀软的病毒库和引擎，保持杀软的最新版本。
定期进行全盘扫描，排查可能被感染的文件。
备份重要的DOS格式文件，以防止数据丢失。
避免下载和执行来历不明的DOS格式文件。
定期更新操作系统和应用程序的安全补丁，修复系统漏洞。
提高用户安全意识，不轻易打开和执行不信任来源的DOS格式文件。
在终端设备上安装防火墙，限制恶意文件的传入和传出。