Virus/DOS.Satan早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Satan存在可执行文件、文本等至少6种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发送大量的伪造数据包或网络请求，导致网络拥堵和服务不可用。
利用SYN洪水攻击，在短时间内向目标计算机发送大量未完成的连接请求，耗尽目标计算机的资源。
利用ICMP洪水攻击，通过发送大量的ICMP Echo请求，使目标计算机无法正常运行。
利用UDP洪水攻击，发送大量伪造的UDP数据包，造成目标计算机的端口耗尽或系统崩溃。
利用TCP洪水攻击，在短时间内向目标计算机发送大量TCP连接请求，消耗目标计算机的资源。
利用HTTP洪水攻击，发送大量HTTP请求，使目标服务器无法正常响应。
样本格式分布
格式类别 占比 格式描述
BinExecute 75.56% 用于执行二进制文件的工具或实用程序
Generic 12.06% 不能确定具体类型的文件
Text 5.08% 纯文字内容的文件
Archive 5.08% 将文件或数据进行压缩和存储
DBinExecute 1.9%
DOS 0.32%
其他厂商命名
厂商 命名
Fortinet Satan.fam
Microsoft Worm:IRC/Satan
Kaspersky Trojan-Ransom.Win32.Satan.v
ESET-NOD32 Win32/Satan.A
典型变种
Virus/DOS.Satan.xw
Virus/DOS.Satan.bch
Virus/DOS.Satan.735
Virus/DOS.Satan.620
典型样本
类型 值
MD5 022f58a1e8d0074d317015b40da4cdc1
MD5 279699541b36d1d8c0b10d7734080091
MD5 2a110d014b1603f517426686b24d8551
MD5 2b52143f63d00b0d9ee3514b48378bf1
MD5 3e62f28b053ea5811099f8f7d590d431
解决方案
安装和及时更新杀毒软件，确保杀毒软件能够及时识别和清除这类病毒。
启用防火墙，限制对系统和网络的访问。
更新操作系统和应用程序的补丁，以修复已知的安全漏洞。
配置网络设备，使用入侵检测和防御系统，及时发现和阻止恶意流量。
设立合理的网络访问策略，限制来自外部网络的未知连接。
定期备份重要数据，以防数据丢失或被破坏。
教育用户，提高网络安全意识，避免点击可疑链接或下载未知来源的文件。