Virus/DOS.SH早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.SH存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发送大量的网络请求：病毒通过利用计算机或网络的资源，发送大量的请求，以超载目标系统的处理能力。
攻击服务端口：病毒定向攻击特定的服务端口，如HTTP、DNS等，以使目标系统服务不可用。
模糊攻击流量：病毒会发送大量的无效请求，以增加目标系统处理流量的负担。
攻击网络设备：病毒会利用弱点攻击路由器、交换机等网络设备，以干扰网络的正常运行。
修改系统配置：病毒会修改系统配置文件，以绕过防火墙和安全设置。
欺骗安全软件：病毒会通过修改主机文件、隐藏自己的进程等手段来对抗杀软，以保证自身的存在和传播。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet MSIL/Agent.SH!tr.pws
Microsoft TrojanDownloader:SH/SAgent.B!MTB
Kaspersky HackTool.Win32.KMSAuto.sh
ESET-NOD32 Linux/TrojanDownloader.SH.SH
典型变种
Virus/DOS.SH.2062
Virus/DOS.SH.dbi
典型样本
类型 值
MD5 21f2f8b8ecfa06ca23d8643bb7fc8503
MD5 b56749ac685f166407f8f768beeb7689
MD5 0e9c559416a2cc6ffb45f6c16dee7a4c
MD5 bba2451ae1cd439307c6bc3b268caa1c
MD5 d899700318507c9dbcfaa2530075ca45
解决方案
更新杀软程序：及时更新杀软程序，以获取最新的病毒数据库和防护规则。
防火墙配置：配置防火墙以限制特定端口的访问，并过滤来自可疑IP地址的流量。
网络监控：使用网络监控工具来检测并记录异常的网络流量，及时发现和应对攻击。
强化网络设备安全：更新网络设备的固件，禁用不必要的服务，并使用强密码和访问控制列表保护设备。
提高员工安全意识：加强员工的网络安全培训，提醒不要点击可疑链接或打开未知附件。
定期备份数据：定期备份重要数据，以防止因攻击导致的数据丢失。
增强系统安全性：更新操作系统和应用程序的补丁，加强系统的安全性。