HackTool/DOS.Setman[Constructor]早在2009年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.Setman[Constructor]存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
攻击目标系统：HackTool/DOS.Setman[Constructor]会寻找并攻击运行特定操作系统和软件的系统。
加密通信：该病毒使用加密通信方法，以避免被杀软检测到，并与控制服务器建立连接。
引发资源耗尽：通过发送大量的请求或占用目标系统的资源，HackTool/DOS.Setman[Constructor]会引发系统资源的耗尽，导致目标系统变得不稳定或崩溃。
变化的攻击方式：该病毒具有多种攻击方式，包括TCP SYN Flood、UDP Flood、HTTP Flood等，攻击者可以根据需要进行选择和修改。
反对抗杀软：HackTool/DOS.Setman[Constructor]使用了多种技术手段来对抗杀软的检测和防御机制，例如动态代码加载、代码混淆等。
持久性感染：一旦HackTool/DOS.Setman[Constructor]成功感染目标系统，它将在系统中建立后门，以确保持久性访问和控制。
样本格式分布
格式类别 占比 格式描述
BinExecute 82.35% 用于执行二进制文件的工具或实用程序
Archive 17.65% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet BAT/Setman.30!tr
Microsoft Constructor:BAT/Setman.2_0
Kaspersky Constructor.DOS.Setman.20
ESET-NOD32 BAT/Setman.20 Constructor
典型变种
HackTool/DOS.Setman.30[Constructor]
HackTool/DOS.Setman.70[Constructor]
HackTool/DOS.Setman.60[Constructor]
HackTool/DOS.Setman.40[Constructor]
HackTool/DOS.Setman.20[Constructor]
典型样本
类型 值
MD5 de56cd3f23c1edb18298a6f32a82f271
MD5 63544646ddb01d809f79696ec11ad236
MD5 f3273ba82401fff3e0e06e967af56f12
MD5 ecbe8460698dfaca15deebb2ded8cd5d
MD5 0e7ec65cfc54f17300717424ddc17829
解决方案
安装杀毒软件并定期更新：使用有效的杀毒软件可以检测和清除HackTool/DOS.Setman[Constructor]，及时更新杀毒软件是保持系统安全的重要步骤。
配置防火墙规则：通过配置防火墙规则，可以限制外部对目标系统的攻击流量，提高系统的安全性。
更新操作系统和软件补丁：及时安装操作系统和软件的安全补丁，可以修补系统的漏洞，减少被HackTool/DOS.Setman[Constructor]利用的可能性。
规范用户行为和访问控制：加强用户的安全意识，不随意打开来历不明的文件或链接，同时限制用户对系统的访问权限，可以减少HackTool/DOS.Setman[Constructor]的传播和影响。
实施网络流量监控：通过实施网络流量监控和入侵检测系统，可以及时发现并阻止HackTool/DOS.Setman[Constructor]的攻击行为。
定期备份重要数据：定期备份重要数据是防止数据丢失或损坏的重要措施，以便在受到HackTool/DOS.Setman[Constructor]攻击时能够恢复被损坏的数据。