Worm/DOS.Wonder[IRC]早在2009年就已经出现。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该Worm的主要行为是IRC，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前Worm/DOS.Wonder[IRC]存在至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
Worm/DOS.Wonder[IRC]会通过IRC渠道连接到指定的控制中心，接收远程指令并执行恶意活动。
该病毒会扫描网络中其他主机，尝试通过漏洞进行远程传播。
Worm/DOS.Wonder[IRC]可以自我复制并生成多个副本，以增加传播效率。
病毒会修改系统的注册表和启动项，使其能够在系统启动时自动运行，并掩盖自身的存在。
该病毒会监视用户的网络活动和敏感信息，并将其发送到攻击者的控制服务器上。
Worm/DOS.Wonder[IRC]利用DOS攻击技术对目标服务器发动大规模攻击，耗尽其资源，导致服务不可用。
样本格式分布
格式类别 占比 格式描述
Generic 100.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Wonder!worm.im
Microsoft Virus:DOS/Wonder
Kaspersky Virus.DOS.HLLO.Wonder
ESET-NOD32 Hll.Wonder.C
典型样本
类型 值
MD5 975eb3997841dae64120e87b9e69bb4f
MD5 f7ef12e85dd70f10eb99e91d361ddab0
解决方案
及时更新杀毒软件并进行全盘扫描，确保病毒库处于最新状态。
启用防火墙和入侵检测系统，及时发现并拦截病毒的网络传播。
定期备份重要数据，并将备份文件存储在与主机隔离的安全位置。
避免点击未知来源的链接和下载不明文件，以防止感染病毒。
注意邮件附件的安全性，不轻易打开或下载来历不明的附件。
在系统上安装补丁和安全更新，修补已知漏洞，减少病毒入侵的可能性。