Virus/DOS.Judi早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Judi存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
使用多个假IP地址进行伪装，使得被攻击目标很难追踪病毒的来源。
通过使用大量的假用户代理头和重定向技术来混淆防护软件的检测。
对目标系统进行持续性DOS攻击，以消耗其网络带宽和处理能力。
利用分布式拒绝服务（DDoS）攻击技术，从多个源同时发动攻击，增加攻击的威力和成功率。
攻击目标系统的关键服务，例如HTTP、DNS等，使得这些服务无法正常运行。
通过使用反射放大技术，将攻击流量增加到更高的峰值，从而对目标系统造成更大的影响。
样本格式分布
格式类别 占比 格式描述
BinExecute 90.0% 用于执行二进制文件的工具或实用程序
Archive 10.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet Judi.1000
Microsoft Virus:DOS/Judi
Kaspersky Virus.DOS.Judi.1000
典型变种
Virus/DOS.Judi.1000
Virus/DOS.Judi.bmm
典型样本
类型 值
MD5 09227c06afa57201993e693bdb41e612
MD5 007b0b99c1e44cba00f8f81eb0340892
MD5 cf5c555e1129ef72de52613ad869ea42
MD5 b0145bfc68e15d5624da0eff9421118d
MD5 b8bfa7e5c2f07b88eb26a5641517fa29
解决方案
安装防火墙软件并配置适当的规则，阻止来自可疑IP地址的访问。
使用入侵检测系统（IDS）来实时监测和识别异常的网络活动。
更新操作系统和应用程序的补丁，以修补已知的漏洞，减少受到攻击的风险。
配置网络设备，如路由器和交换机，以过滤和抵御恶意流量。
使用流量分析工具来识别和屏蔽异常的网络流量。
定期备份重要数据，并将其存储在离线或隔离的环境中，以防止数据丢失。