Trojan/DOS.Sabil早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Sabil存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为

发起大规模的网络流量攻击，占用大量网络带宽。
利用僵尸网络（Botnet）进行分布式拒绝服务攻击，使目标系统无法正常响应用户请求。
利用ICMP（Internet Control Message Protocol）泛洪攻击，发送大量无效的数据包导致网络可用性降低。
通过发送TCP SYN（同步建立连接）请求来占用目标系统的资源，使其无法处理其他正常的连接请求。
进行UDP洪泛攻击，向目标系统发送大量UDP数据包，占用其处理能力。
利用DNS（Domain Name System）放大攻击，发送小型的请求但获取大量响应，使目标系统超负荷运行。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Microsoft Trojan:DOS/Sabil
Kaspersky Trojan.DOS.Sabil
ESET-NOD32 Sabil

典型样本

类型 值
MD5 b5f1caa2e8fdedad56a40b1b46f7bb26
MD5 316b1aa438196b1c3a044bb9e386bb73
解决方案

及时更新操作系统和防病毒软件，保持其处于最新版本，以获取最新的安全补丁。
在网络环境中部署防火墙和入侵检测系统，以监控和拦截可疑的网络活动。
配置合理的网络安全策略，限制网络流量和连接数，减少对目标系统的负载。
阻止未知来源的文件和附件的下载，尤其是来自不受信任的网站和电子邮件附件。
加强对员工的安全教育和意识培养，避免点击垃圾邮件、恶意链接或下载未经验证的文件。
定期进行系统和网络设备的安全检查，发现和清除潜在的木马病毒。