Virus/DOS.Moran早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Moran存在可执行文件、DBinExecute等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
拦截用户输入：Virus/DOS.Moran会监控键盘输入，拦截用户的敲击操作，以获取敏感信息。
破坏文件系统：病毒会修改、删除关键系统文件，导致系统运行异常或无法启动。
占用系统资源：Virus/DOS.Moran会消耗大量系统资源，导致系统响应缓慢甚至崩溃。
密集重启：病毒可以导致系统频繁重启，影响用户正常使用。
自我复制传播：它具有自我复制的能力，可以通过网络、可移动设备等方式传播给其他计算机。
绕过杀软检测：该病毒会采取各种技巧来绕过杀软程序的监测和清除，使其难以被发现和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 80.0% 用于执行二进制文件的工具或实用程序
Generic 10.0% 不能确定具体类型的文件
DBinExecute 5.0%
Text 5.0% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet Moran.2720
Microsoft Virus:DOS/Moran
Kaspersky Virus.DOS.Moran.2720
典型变种
Virus/DOS.Moran.2720
Virus/DOS.Moran.eaq
Virus/DOS.Moran.2725
Virus/DOS.Moran.eav
典型样本
类型 值
MD5 9cb201e56659d68a9c6c5434536efb91
MD5 e3ffb8173ce25af030d1f382abbbf461
MD5 e45cc849968e0003849ca806776254ed
MD5 21559c5ed819de7b76433e084ad543f3
MD5 ac0dad08fa1ea70e9507e0c5b603ebb9
解决方案
及时更新杀软：确保杀软程序处于最新版本，以便其能够识别并清除新出现的病毒。
定期全面扫描系统：使用杀软进行定期全面扫描，以发现并清除系统中隐藏的病毒。
注意软件来源：避免下载和安装来历不明的软件，以防止被感染病毒。
强化防火墙设置：配置强大的防火墙规则，限制恶意软件的进入和传出。
备份重要文件：定期备份重要的文件和数据，以防止病毒感染导致数据丢失。
密码保护和加密：设置复杂的密码并进行加密，以加强系统和个人信息的安全性。