Virus/DOS.Tricky早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Tricky存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
Virus/DOS.Tricky会修改系统的关键文件和注册表项，以隐藏自己的存在。
它利用文件和进程混淆等技术，使得杀软难以识别和清除该病毒。
病毒会使用伪装的网络流量来迷惑杀软软件的检测引擎。
它可以利用系统漏洞或弱密码进行传播，以感染更多的系统。
病毒还可以通过下载和执行恶意文件来对系统进行进一步的破坏。
它可能将自身复制到可移动存储设备上，以便在其他系统中传播。
样本格式分布
格式类别 占比 格式描述
BinExecute 33.33% 用于执行二进制文件的工具或实用程序
Generic 33.33% 不能确定具体类型的文件
Archive 16.67% 将文件或数据进行压缩和存储
Text 16.67% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet Tricky.200B
Microsoft Virus:DOS/Tricky
Kaspersky Virus.DOS.Tricky.218
典型变种
Virus/DOS.Tricky.ik
Virus/DOS.Tricky.218
Virus/DOS.Tricky.jc
Virus/DOS.Tricky.236
典型样本
类型 值
MD5 eeee807460b0caaf754a50d87d246312
MD5 3cec710a01dfa6c5a8ba707cbf8ae0cd
MD5 5f9be0725ba34c25098c79b4bef461d5
MD5 a2ea704da47e5ff19a8b9db9400c237f
MD5 0ecd9cdf7d73048c52f5793e89dd078e
解决方案
及时更新操作系统和安全补丁，以修复可能存在的系统漏洞。
安装可信的杀毒软件，并定期更新病毒库。
避免打开未知的电子邮件附件或下载来历不明的文件。
使用复杂且不易猜测的密码，避免使用弱密码。
定期备份重要的数据，并将备份存储在离线状态。
在使用可移动存储设备时，谨慎打开或执行其中的文件。