Virus/DOS.SubZero早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.SubZero存在可执行文件至少两种格式的样本，Generic占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
Virus/DOS.SubZero 具有自我复制能力，能够通过感染可执行文件来传播自身。
该病毒会篡改系统关键文件，破坏系统稳定性，导致系统崩溃或运行缓慢。
Virus/DOS.SubZero 会监视用户的网络活动，窃取敏感信息并发送给远程控制者。
该病毒会对杀毒软件进行屏蔽和禁用，以确保自身不被杀毒软件检测和清除。
Virus/DOS.SubZero 可能会修改注册表信息，影响系统启动和运行。
该病毒还可能利用系统漏洞进行横向扩散，感染其他主机。
样本格式分布
格式类别 占比 格式描述
Generic 66.67% 不能确定具体类型的文件
BinExecute 33.33% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/SubZero.A!tr.bdr
Microsoft Backdoor:Win32/SubZero
Kaspersky Backdoor.Win32.SubZero.10
ESET-NOD32 Jerusalem.Cap_Trip.Subzero
典型变种
Virus/DOS.SubZero.555
Virus/DOS.SubZero.vj
典型样本
类型 值
MD5 a6faa4acbab3ae81738ce65029d24cb1
MD5 6419308410d2c0f48aa418175c74e4ef
MD5 78ea175593cdbefdb557c3e0028b375f
解决方案
定期更新操作系统和软件补丁，修补潜在的安全漏洞，减少病毒传播风险。
使用权威的杀毒软件对系统进行全盘扫描，确保病毒得到及时清除。
避免下载来历不明的软件和文件，减少感染风险。
增强网络安全意识，不轻信来历不明的邮件附件或链接。
设置可靠的防火墙保护计算机系统，阻止未经授权的网络访问。
在遭受病毒攻击时，及时断开网络连接，避免病毒进一步传播，同时寻求专业人员的帮助清除病毒。