Virus/DOS.Zlo早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Zlo存在可执行文件、文本等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
修改自身文件属性，使其在系统中不易被查找到。
动态改变自身的文件名，以混淆杀软的识别。
在感染其他程序时，使用随机加密算法加密恶意代码，使其难以被杀软解析。
利用虚拟机技术，在恶意代码执行前进行环境检测，如果检测到了杀软存在，病毒会选择性地不执行恶意行为。
注入恶意代码到其他进程中，以绕过杀软对病毒进程的监控和阻止。
利用零时攻击漏洞，对杀软进行攻击，使其失效或降低防护能力。
样本格式分布
格式类别 占比 格式描述
BinExecute 57.14% 用于执行二进制文件的工具或实用程序
Generic 35.71% 不能确定具体类型的文件
Text 7.14% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet W32/Zlo.M!tr
Microsoft Virus:DOS/Zlo.1133
Kaspersky not-a-virus:AdWare.Win32.ICLoader.zlo
ESET-NOD32 a variant of Win32/Kryptik.ZLO
典型变种
Virus/DOS.Zlo.brp
Virus/DOS.Zlo.1133
典型样本
类型 值
MD5 981fc7faee16b3f782c50a671db9d761
MD5 8ac2caf751061f6094fd585c4f37638d
MD5 ea71ff73c1c4b8c2580c7aef51dda8fd
MD5 066fb4c56a2ee0b4088cee21b3924cb9
MD5 70c7a4706da83437a491051220380fdc
解决方案
及时更新杀毒软件的病毒库，以保证对最新病毒的识别和防护。
使用多个杀毒引擎进行扫描和检测，以提高检测率。
避免下载、安装来历不明的软件，尽量从官方渠道获取软件。
不随意点击来历不明的链接或打开附件，以避免恶意软件的感染。
定期备份重要的文件和数据，以防止病毒损坏或加密文件。
定期进行系统漏洞的修复和更新，以减少病毒利用漏洞的机会。