Virus/DOS.Kelly早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该感染式病毒变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Virus/DOS.Kelly存在可执行文件至少两种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发送大量伪造的网络请求，以消耗目标服务器的带宽和计算资源。
利用分布式拒绝服务（DDoS）攻击技术，通过控制大量感染的计算机来同时发起攻击，增加攻击威力。
使用随机化和动态IP地址来隐藏攻击来源，使防御更加困难。
使用IP欺骗和源IP地址伪造来混淆目标服务器，增加识别和过滤的难度。
对目标服务器的特定服务进行直接攻击，如HTTP、DNS等，以造成服务不可用。
修改网络设置和配置文件，篡改服务器的网络连接和数据流，进一步破坏系统稳定性。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Generic 50.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet PP97M/Kelly.A
Microsoft Virus:PP97M/Kelly.A.dam
Kaspersky Virus.MSPPoint.Kelly
ESET-NOD32 PP97M/Kelly.C
典型变种
Virus/DOS.Kelly.bdz
Virus/DOS.Kelly.779
典型样本
类型 值
MD5 1a815153c2e84c88785f2595de1185b2
MD5 2dc13efb2842d33569312d6cf78c7e5e
解决方案
安装火墙和防火墙，及时更新规则和策略，限制不必要的网络访问。
配置入侵检测和入侵防御系统，及时发现和阻止攻击行为。
使用网络流量监控工具，及时检测异常流量和攻击特征，采取相应的防御措施。
部署DDoS防护设备，能够实时检测和抵御大规模DDoS攻击。
定期更新服务器和网络设备的漏洞补丁，提高系统的安全性。
开展安全培训和意识教育，提高员工对病毒和网络安全的认识，避免点击恶意链接或下载可疑文件。