Virus/DOS.Tunnel早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Tunnel存在可执行文件至少两种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
Virus/DOS.Tunnel会使用rootkit技术，将自己隐藏在系统中，以避免被杀软发现。
它会不断变化自身的文件名和路径，使杀软难以追踪和删除。
该病毒可以通过改变进程名称和ID来避免被杀软检测。
它还会修改系统注册表，以确保自己在系统启动时自动运行，并随机生成进程名称。
Virus/DOS.Tunnel会利用隐藏的网络隧道，将恶意代码传输到远程服务器，以便进一步扩散和对抗杀软的干扰。
该病毒可以禁用杀软实时监测功能，以免被检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Generic 50.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Tunnel!tr
Kaspersky VirTool.DOS.Tunnel
ESET-NOD32 probably unknown STEALTH.POLY.CRYPT.TUNNEL.TSR.EXE
典型变种
Virus/DOS.Tunnel.823
Virus/DOS.Tunnel.bfr
Virus/DOS.Tunnel.811
Virus/DOS.Tunnel.bff
典型样本
类型 值
MD5 b5a831fbe1979d22a5b78bb2e1a85846
MD5 7ebe9bdfa60574a2d53630493e6005dd
MD5 4dc59f18201931d5ce7cd9d2e10b4083
MD5 5a097d9e39f2fde7d2dfafc37ba45e4c
MD5 d19ebf24d25936e63aaa3a66bae3089a
解决方案
及时更新杀软程序和病毒数据库，以便及时捕捉并清除Virus/DOS.Tunnel。
定期进行系统完整性和安全性扫描，以便检测和删除病毒。
使用可靠的防火墙来监控网络通信，以防止Virus/DOS.Tunnel的传输。
避免打开来自不信任或可疑来源的电子邮件附件和下载文件。
对系统进行常规备份，以便在遭受病毒攻击时能够恢复数据。
如果你的系统已感染Virus/DOS.Tunnel，建议立即使用专业的杀毒软件进行清除。