Virus/DOS.Hammer早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Hammer存在可执行文件、压缩文件等至少3种格式的样本，Generic占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为

Virus/DOS.Hammer会向目标服务器发送大量的无效数据包，占用服务器的网络带宽和处理能力。
它会发起多个伪造的TCP连接请求，消耗目标服务器的连接资源，导致正常用户无法访问网站或服务。
病毒还会进行可变源IP的攻击，使得目标服务器难以追溯攻击源。
Virus/DOS.Hammer可能会尝试利用安全漏洞来入侵目标服务器，获取更高权限。
它会频繁改变攻击策略、改变攻击目标，以及不断更换攻击方式，使防御难度增加。
该病毒可能会主动规避杀软检测，使用加密或其他技术手段隐藏自身。
样本格式分布
格式类别 占比 格式描述
Generic 50.0% 不能确定具体类型的文件
BinExecute 44.44% 用于执行二进制文件的工具或实用程序
Archive 5.56% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/Hammer.A!tr
Microsoft Virus:DOS/Hammer
Kaspersky Virus.DOS.Hammer.2272
典型变种

Virus/DOS.Hammer.ts
Virus/DOS.Hammer.djk
Virus/DOS.Hammer.2272
Virus/DOS.Hammer.512
典型样本

类型 值
MD5 6fc53a52b70afef01a31da2a10e67262
MD5 bbd871b60245156d67f7e771d6740f72
MD5 cf9ad113db30b2640551ce0680e7f966
MD5 ba6b5189d58799a108824eb07a7a1339
MD5 d399a499cd52494d99eb45103199e009
解决方案

及时更新服务器操作系统和软件的安全补丁，修复已知漏洞，减少病毒利用的机会。
配置防火墙，对外部流量进行过滤和监控，限制恶意流量进入服务器。
使用专业的入侵检测系统（IDS）和入侵防御系统（IPS），实时监测和阻止病毒攻击。
部署反DDoS（分布式拒绝服务攻击）系统，能够分散和缓解大量的攻击流量。
加强网络安全教育和培训，提高员工对病毒攻击的认识和防范能力。
定期备份重要数据，并将备份数据存储在独立的、安全的网络环境中，以便在遭受攻击后能够快速恢复。