HackTool/DOS.40hex[VirTool]早在2009年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是VirTool，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.40hex[VirTool]存在可执行文件、DBinExecute等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
发送大量无效数据包：该工具会利用大量虚假的数据包攻击目标系统，使得系统无法正常处理有效的数据，导致系统资源耗尽。
模糊化攻击：该工具会发送具有修改过的数据包，使得目标系统无法正确解析和处理数据，进而导致系统崩溃。
利用系统漏洞：该工具会利用已知的系统漏洞，通过发送特定的数据包触发漏洞，导致系统崩溃或执行恶意代码。
拒绝服务攻击：该工具会通过持续发送无效数据包或特定的请求，占用目标系统的资源，造成系统无法正常响应合法请求，从而导致拒绝服务攻击。
修改系统配置：该工具会篡改系统的网络配置，使得目标系统在处理网络通信时出现异常，影响网络通信的正常功能。
欺骗防御机制：该工具会针对杀软软件的防御机制进行欺骗，采用加密、混淆等手段使得杀软无法正确识别和清除该工具。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
DBinExecute 25.0%
Generic 25.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet 40hex.A
Kaspersky VirTool.DOS.40hex
典型样本
类型 值
MD5 133e0533eeeb0b77aac0f93edddddc96
MD5 8b509cc4b2682ab20f1debd4fb53eb49
MD5 9a39cd2f4cc581051358ba5db9130c73
MD5 937aaf9f173ee27c7c28f91aedfdfd2c
MD5 d522b57307049c8218794b44e9361d3e
解决方案
更新系统补丁：及时安装系统厂商发布的安全补丁，修复已知的系统漏洞，减少该工具的攻击面。
强化系统安全策略：配置防火墙、入侵检测系统等安全工具，限制外部访问和恶意流量，降低系统受到攻击的风险。
使用可靠的安全软件：选择经过认证的杀毒软件和安全工具，及时更新病毒库，提高对该工具的识别和清除能力。
加强网络安全意识培训：提高用户对网络安全的认识，避免点击未知来源的链接、下载不明文件，减少该工具的传播途径。
定期备份重要数据：定期备份系统和关键数据，以便在受到攻击时能够快速恢复和重建系统。
及时响应和处置：发现和确认系统受到该工具攻击后，立即采取相应的处置措施，隔离受感染的系统，清除该工具的痕迹，阻止进一步的攻击。