Trojan/DOS.Synfo早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Synfo存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
通过发送大量伪造的TCP连接请求包来实施SYN Flood攻击
崩溃目标系统的网络服务，如Web服务器、FTP服务器等
使目标系统的网络带宽被占用殆尽，导致正常网络通信受阻
进一步利用目标系统漏洞，实施其他恶意活动，如远程控制、数据窃取等
绕过杀软的检测和防御机制，隐蔽运行在感染系统中
修改系统配置，使其自动启动并隐藏自身的存在
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Synfo.A!tr
Microsoft Trojan:DOS/Synfo
Kaspersky Trojan.DOS.Synfo
典型样本
类型 值
MD5 31dc76343cdd6f4a326871c87e0fdf52
MD5 3c3fce2f959ebfd81cbd9bb922f7c247
MD5 e89d17267ba80461719b7d0778c5e5c7
解决方案
升级操作系统和应用程序，修补已知的漏洞
配置防火墙或入侵检测系统，限制网络流量的数量和速率
安装可靠的杀毒软件，并及时更新病毒库，进行实时监测和扫描
定期备份重要数据，以防数据丢失或被破坏
建立网络安全意识，加强员工的安全培训和教育
加强系统的访问控制和权限管理，限制非授权用户的访问
及时报告和响应安全事件，与安全专家合作迅速应对攻击