Virus/DOS.Crocodiles早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Crocodiles存在可执行文件至少两种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
Virus/DOS.Crocodiles会通过感染其他计算机或网络设备，利用它们作为控制节点，组成一个庞大的僵尸网络，然后通过这个网络同时向多个目标发起DOS攻击。
该病毒会使用大量带有伪造源IP地址的数据包进行洪水攻击，使目标计算机的网络带宽被消耗殆尽，导致目标服务无法正常使用。
Virus/DOS.Crocodiles可以利用ICMP、SYN、UDP等各种网络协议进行攻击，使得目标计算机的网络堵塞，拒绝服务。
该病毒还能对目标计算机进行端口扫描，寻找可能存在的漏洞，并利用这些漏洞进行更进一步的攻击。
Virus/DOS.Crocodiles会不断变化攻击策略，以逃避杀软的检测和阻止。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Generic 50.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Crocodiles.1592
Microsoft Virus:DOS/Crocodiles
Kaspersky Virus.DOS.Crocodiles.1592
典型变种
Virus/DOS.Crocodiles.1592
Virus/DOS.Crocodiles.cjg
典型样本
类型 值
MD5 8b3d3e208733013c9f8639d0cb99e87d
MD5 9c97beccb83927f07bfdda31c549785d
MD5 cc3e297eac10f2ad4f843c77f9afbf89
MD5 4913357b462cdaf4f2f94220d10c9055
解决方案
及时更新防火墙规则，设置合理的防火墙策略，封堵恶意IP地址。
配置适当的入侵检测系统（IDS）或入侵防御系统（IPS），及时监测和阻止异常网络流量。
定期对目标计算机进行系统和应用程序的补丁更新，修复可能存在的安全漏洞。
部署DDoS防御设备，通过实时监测、流量过滤和攻击识别等手段，及时阻断Virus/DOS.Crocodiles的攻击流量。
使用可靠的杀毒软件，并及时更新病毒库，确保对Virus/DOS.Crocodiles及其变种的有效防护。
加强网络安全教育，提高用户安全意识，避免点击可疑链接或下载未知来源的文件，防止病毒通过社交工程手段传播。