Virus/DOS.Keeper早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Keeper存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
持续向目标系统发送大量的无效网络请求，消耗系统资源
随机生成大量的伪造IP地址，增加攻击的追踪难度
利用分布式网络进行攻击，增加攻击威力
绕过杀软的检测，阻断病毒清除的尝试
利用系统漏洞进行远程代码执行
干扰系统正常的网络通信，造成网络瘫痪
样本格式分布
格式类别 占比 格式描述
BinExecute 63.16% 用于执行二进制文件的工具或实用程序
Generic 16.84% 不能确定具体类型的文件
Archive 15.79% 将文件或数据进行压缩和存储
DBinExecute 2.11%
Text 2.11% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet Keeper.694
Microsoft Virus:DOS/Keeper
Kaspersky Virus.DOS.Keeper.Eleet.726
ESET-NOD32 Keeper.Enemy
典型变种
Virus/DOS.Keeper.joker
Virus/DOS.Keeper.742
Virus/DOS.Keeper.1082
Virus/DOS.Keeper.enemy
Virus/DOS.Keeper.1036
典型样本
类型 值
MD5 6d0bf692cb18b5b0433187202d669bf1
MD5 b7c079d71adfd9a627840e4f5deb42c1
MD5 be826d574d631f18560c063b512ecdc1
MD5 d3674a649a54016512553ea55059a041
MD5 dde33adbc40019825e663ec5b77a7131
解决方案
更新杀软的病毒库，确保能够识别和清除该病毒
配置网络防火墙，过滤掉Virus/DOS.Keeper的恶意网络请求
安装系统补丁，修复可能存在的漏洞
加强对邮件和下载附件的安全策略，防止感染入侵
实施访问控制策略，限制不必要的网络访问
定期备份系统数据，以便在受到攻击时进行恢复