Virus/DOS.Dem早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Dem存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
修改关键系统文件，导致系统无法启动或异常崩溃。
删除或篡改重要系统文件和数据，导致关键数据丢失。
拦截和修改系统调用，破坏运行中的程序或操作系统功能。
绕过或禁用杀软或防火墙的检测和防护机制。
利用系统漏洞或弱密码攻击其他计算机，加速病毒传播。
在感染的计算机上生成或传输大量的无用数据，占用系统资源，导致系统运行缓慢。
样本格式分布
格式类别 占比 格式描述
BinExecute 68.87% 用于执行二进制文件的工具或实用程序
Generic 12.91% 不能确定具体类型的文件
Archive 11.92% 将文件或数据进行压缩和存储
Text 4.64% 纯文字内容的文件
DBinExecute 1.66%
其他厂商命名
厂商 命名
Fortinet W32/Agent.DEM!tr
Microsoft Trojan:Win32/Raccoon.DEM!MTB
Kaspersky Trojan.Win32.Hrup.dem
ESET-NOD32 VBA/TrojanDownloader.Agent.DEM
典型样本
类型 值
MD5 00cd1fbd17aa9c4eabb999d617859511
MD5 13c45a0414708d49b056b045e14943a1
MD5 46cc1900c0ecf261227b570774a9f1a1
MD5 50565258a4a80218a659c70bdffd7481
MD5 6e10d9fb882b02fb57e9b82343676021
解决方案
更新并使用最新的杀毒软件，及时进行病毒扫描和防护。
定期备份重要数据，以防数据丢失。
使用防火墙和安全软件，限制外部访问。
确保操作系统和常用软件的安全性补丁及时更新。
避免打开或下载来路不明的文件和链接。
加强系统安全意识培训，避免点击可疑邮件或链接。