Virus/DOS.Mendoza早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Mendoza存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
通过网络攻击目标系统的关键服务，如HTTP、DNS等，导致系统的资源耗尽；
利用大量伪造的IP地址发送恶意请求，使目标系统无法正常处理合法请求；
修改系统配置文件和注册表项，使目标系统的性能下降，并增加对抗杀软的能力；
利用系统漏洞和弱密码进行远程访问，控制目标系统并下载其他恶意软件；
屏蔽杀软程序的功能，阻止其对病毒的识别和清除；
植入恶意代码到正常文件中，以逃避杀软的检测。
样本格式分布
格式类别 占比 格式描述
BinExecute 90.91% 用于执行二进制文件的工具或实用程序
Generic 9.09% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Mendoza.3380
Microsoft Virus:DOS/Mendoza
Kaspersky Virus.DOS.Mendoza.3380
ESET-NOD32 Jerusalem.Mendoza
典型变种
Virus/DOS.Mendoza.3380
Virus/DOS.Mendoza.faa
典型样本
类型 值
MD5 a21fdd3811c8e2b355a7147c4bee9cad
MD5 c348559f36914df1c9c46bf27de71863
MD5 d2c13638d51e653e81ca388d47384ee9
MD5 a11bd24d6f1b93a9d4ebe7b797802747
MD5 ca3d65ac563b958b5be5578fa0e28627
解决方案
及时更新操作系统和应用程序的补丁，修补系统中的漏洞，防止病毒利用；
安装并定期更新杀软程序，并确保实时保护功能开启；
启用防火墙，限制外部访问目标系统的特定端口；
加强密码策略，使用复杂的密码来保护系统的远程访问；
定期备份重要数据，以防数据丢失；
在系统中运行反恶意软件工具，检测和清除已感染的文件。