Virus/DOS.Wizard早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Wizard存在可执行文件、DBinExecute等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大规模的DDoS（分布式拒绝服务）攻击，通过向目标服务器发送大量恶意请求，导致服务器资源耗尽，从而无法正常对外提供服务。
利用系统漏洞或弱密码进行远程控制，以便攻击者可以远程操纵感染的计算机，并进行各种破坏行为。
安装键盘记录器来窃取用户的敏感信息，如密码、信用卡信息等。
感染系统关键文件或启动项，以达到自启动和持久感染的目的。
破坏或篡改系统文件和注册表，导致系统出现不稳定甚至无法启动的问题。
禁用或削弱杀软和防火墙等安全软件的功能，以免其被检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 63.64% 用于执行二进制文件的工具或实用程序
Generic 27.27% 不能确定具体类型的文件
DBinExecute 9.09%
其他厂商命名
厂商 命名
Fortinet Wizard.268
Microsoft Virus:DOS/Wizard
Kaspersky HEUR:Backdoor.Win64.Wizard.a
ESET-NOD32 Hll.Wizard.A
典型变种
Virus/DOS.Wizard.ki
Virus/DOS.Wizard.495
Virus/DOS.Wizard.fll
Virus/DOS.Wizard.tb
Virus/DOS.Wizard.268
典型样本
类型 值
MD5 1cc1bffddec4648171003438a50760f1
MD5 211eba2fcfda6f19a17174bad5965472
MD5 4716faff796b477dfc4c3e512e2d06e2
MD5 77e80d9294c61cfc26a7812592223d96
MD5 d8cd6ea8c503489cd5c63884e86cdc32
解决方案
使用专业的杀毒软件进行全盘扫描和清除病毒。
及时更新操作系统和应用程序的补丁，以修补系统漏洞，避免被病毒利用。
使用防火墙和入侵检测系统来监控和过滤异常网络流量，以减轻DDoS攻击的影响。
加强系统和账户的安全措施，包括使用强密码、启用二次认证、限制远程访问等。
定期备份重要数据，并将备份文件存储在安全的离线介质上，以防止数据丢失。
加强员工安全意识培训，警惕钓鱼邮件和恶意下载等社交工程手段。