Virus/DOS.Sabotager早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Sabotager存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
它会检测系统中运行的杀软，并试图通过关闭或修改防护设置来绕过杀软的检测和删除。
它会定期更新自身的代码和行为，以逃避杀软的检测。
它会混淆自己的代码，使杀软难以分析并识别其恶意行为。
它会模拟合法软件的行为，以躲避杀软的监控，例如模拟系统进程或网络通信行为。
它会关闭或禁用杀软的实时监控功能，以阻止杀软对其行为的检测和拦截。
它会对杀软的数据库进行攻击，以删除或修改其中的恶意软件识别规则，使杀软无法正确识别和清除病毒。
样本格式分布
格式类别 占比 格式描述
BinExecute 75.0% 用于执行二进制文件的工具或实用程序
Generic 25.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Microsoft Virus:DOS/Sabotager
Kaspersky Virus.DOS.Sabotager.3133
典型变种
Virus/DOS.Sabotager.eqn
Virus/DOS.Sabotager.3133
典型样本
类型 值
MD5 a3dceb6bdcd599a4c3a7769a9f9857a1
MD5 27807c4d9112d07cb77393c0629fbd82
MD5 a23899c41c9585ff3012e234436a61e2
MD5 cacba6e554f257415d27db6d8a9f5c6d
MD5 93268820041399b551acf2992714a8a7
解决方案
及时更新防病毒软件的病毒库和程序版本，以确保杀软具备对最新病毒的识别和清除能力。
定期扫描系统，特别是可疑文件和目录，及时发现并清除病毒感染。
在安全的网络环境下下载和安装软件，避免通过非官方渠道和来源下载可执行文件。
定期备份重要数据，以防止数据丢失或被病毒加密。
安装防火墙和入侵检测系统，及时发现并阻止病毒的网络传播。
执行良好的上网安全习惯，避免点击垃圾邮件、访问可疑网站和下载未知来源的文件。