Virus/DOS.Khai早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Khai存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
通过破坏网络通信协议，干扰目标计算机的网络连接。
利用多线程技术，同时发起大量的网络请求，占用目标计算机的带宽和资源。
对特定的网络服务进行频繁的请求，使其无法正常响应合法用户的请求。
利用DDoS（分布式拒绝服务）攻击手段，通过控制多台僵尸主机共同发起攻击，增大攻击威力。
修改系统文件或注册表项，以确保病毒的自启动和持久性。
对抗杀软，通过自身的隐藏和变异技术，避免被杀软检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Generic 33.33% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Khai.1835
Microsoft Virus:DOS/Khai
Kaspersky not-a-virus:AdWare.Win32.FileTour.khai
典型变种
Virus/DOS.Khai.1835
Virus/DOS.Khai.csp
典型样本
类型 值
MD5 7cd62bde5370ac201d70c5d854350bc1
MD5 3599bb9b48c71fd1b9e7205b9a9b9d42
MD5 37748bfd2a7b2e145be2c33835f73d22
MD5 5a8097314d64436e7b6701e2179b7d22
MD5 1cec745be17d060cf4d15ade3fac46b9
解决方案
及时更新操作系统和应用程序补丁，修复系统漏洞。
安装并定期更新可靠的杀毒软件，并进行全盘扫描和实时监测。
配置防火墙和入侵检测系统，限制不明网络流量和恶意请求。
增加网络带宽、增强硬件资源和服务器性能，提高系统的抗攻击能力。
进行网络流量分析和异常检测，及时发现和阻断疑似攻击流量。
加强用户教育和安全意识培训，避免点击来自陌生或可疑来源的链接和附件。
配置系统日志和监控，及时发现异常行为并采取相应的反制措施。