Virus/DOS.Lucas早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Lucas存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
不断向目标系统发送大量无效请求，耗尽系统资源。
使用伪造的IP地址进行攻击，使系统难以追踪攻击源。
攻击目标系统的网络接口，导致网络通信中断。
修改关键系统文件，破坏系统的整体稳定性。
制造大规模的网络流量，干扰和阻止合法用户的访问。
利用漏洞入侵系统，获取敏感信息或进行进一步的攻击。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Archive 25.0% 将文件或数据进行压缩和存储
Generic 25.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Lucas.1871
Microsoft Virus:DOS/Lucas
Kaspersky Virus.DOS.Lucas.1871
典型变种
Virus/DOS.Lucas.1871
Virus/DOS.Lucas.ctz
典型样本
类型 值
MD5 d5ab6fd37bbf7d9e3ffb991663d15cf1
MD5 9bb03f1ebdb222d63f0bf58286a5e766
MD5 fbf3f67d38a33ad0e7f01587e372b5c0
MD5 3bea22ed59405161fde94123fea0272e
MD5 7f1db53c35e80c618b0b3e7eecba6774
解决方案
及时更新操作系统和应用程序的补丁，修复潜在漏洞。
安装可靠的防火墙和入侵检测系统，及时发现和阻止恶意攻击。
使用信任的杀毒软件，并定期更新病毒定义文件。
配置正确的访问控制策略，限制不必要的网络访问。
加强系统访问认证，使用强密码和多重身份验证。
定期备份重要数据，并存储在离线设备上，以免遭受数据丢失或损坏。
建立安全意识教育计划，培养员工对恶意软件的识别和防范能力。