Trojan/DOS.Tag早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Tag存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
发起大规模的DDoS攻击，使目标系统或网络无法正常运行。
利用多个僵尸主机发起分布式的拒绝服务攻击，增加攻击威力。
针对特定的网络服务端口进行持续的连接请求，消耗目标系统资源。
利用系统漏洞将自身隐藏，并在目标系统上持续运行，以确保攻击持久性。
对杀毒软件或防火墙进行主动识别和绕过，保证自身的持续存在和活动。
与其他恶意软件联合工作，形成更大规模的攻击网络。
样本格式分布
格式类别 占比 格式描述
BinExecute 80.0% 用于执行二进制文件的工具或实用程序
Generic 20.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet MSIL/Agent.TAG!tr
Microsoft TrojanDownloader:O97M/Donoff.TAG!rfn
Kaspersky Trojan.Win32.AntiFW.tag
ESET-NOD32 VBS/TrojanDownloader.Agent.TAG
典型样本
类型 值
MD5 8fa7cf0c4480aacd76ab022e031b4081
MD5 e03c017caac9f6c5d79b525cc4a47f31
MD5 dbc91db1591cff040b3c9bdc9313f798
MD5 11e55cde131fbaa990248cfa5644f1b0
MD5 445a0859427bb14fca0753063e007350
解决方案
使用防火墙或入侵检测系统来监控并过滤恶意流量，及时发现和阻止攻击。
更新和打补丁操作系统和软件程序，以修复已知的安全漏洞。
使用强大的密码策略和身份验证机制，防止被黑客利用弱密码进行攻击。
定期备份系统数据和重要文件，以防止数据丢失。
安装并定期更新杀毒软件，确保及时发现和清除病毒。
在网络环境中保持高度警惕，及时发现异常流量和攻击行为，采取相应的防御措施。