Trojan/DOS.Anti-School早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Anti-School存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，由于该特洛伊木马的变种变化较大，安全厂商依托不同的检测方式进行检测覆盖，其中Fortinet，Microsoft等安全厂商给出了不同的命名。
病毒行为

发起大规模的DOS（拒绝服务）攻击，导致学校网络系统瘫痪，无法正常运行。
利用僵尸网络发送大量垃圾邮件，占用网络带宽和邮件服务器资源，影响学校的正常邮件通信。
窃取学生和教师的个人信息，如账号密码、学生档案等，用于非法用途。
实施勒索行为，威胁学校付款，否则将继续攻击学校网络。
安装其他恶意软件，如键盘记录器、远程控制工具等，用于进一步侵入学校网络系统。
修改系统设置，关闭防火墙和杀软程序，以抵抗杀软的检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 62.5% 用于执行二进制文件的工具或实用程序
Archive 37.5% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/Anti.SCHOOL
Microsoft Virus:MacOS/Anti.A
Kaspersky Trojan.DOS.Anti-School
ESET-NOD32 Anti-School

典型样本

类型 值
MD5 42a2697c9a3b30fc4f54b0214e7ab829
MD5 419fbaeeb36380a94baa90cacbe39835
MD5 67f9c1d7f1a065fa09e1bb361b4f45d8
MD5 a543f2438ac3d9561933af921834aecf
MD5 b45d99d257e3ac2b404ce79b177050b0
解决方案

及时修补系统漏洞，确保网络系统的安全性和稳定性。
安装和更新杀毒软件、防火墙和入侵检测系统，及时检测和清除病毒。
加强网络安全教育和培训，提高师生的网络安全意识，避免点击不明链接和下载可疑附件。
合理配置网络设备和访问控制策略，限制非法访问和恶意流量。
定期备份重要数据，以防止数据丢失和勒索威胁。
进行系统日志监控和行为分析，及时发现和应对异常网络行为。