Trojan/DOS.Matreshka早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Matreshka存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为

Trojan/DOS.Matreshka会通过利用系统漏洞或网络钓鱼等方式欺骗用户，进行潜在的安装。
一旦感染系统，它会修改系统的关键文件和注册表项，以隐藏自己和对抗杀软的检测和删除。
Trojan/DOS.Matreshka会利用系统资源进行分布式拒绝服务攻击（DDoS），向目标服务器发送大量无效或恶意请求，从而导致服务器过载、崩溃甚至服务不可用。
它还会窃取用户的个人敏感信息，如登录凭据、银行账户信息等，并将其发送到远程控制服务器，用于非法活动。
Trojan/DOS.Matreshka还可能通过下载和安装其他恶意软件、创建后门等方式进一步感染系统，并扩大对系统的破坏。
为了对抗杀软的检测，它会利用多种变种和混淆技术，使其难以被杀软准确识别和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Microsoft Trojan:DOS/Matreshka
Kaspersky Trojan.DOS.Matreshka

典型样本

类型 值
MD5 a51088c6dab19a58aab3b5d07482a206
MD5 4e42a434aa62706b2d8147771d0959dc
MD5 a60f92b5367496c2599162ad1481ad47
解决方案

及时更新操作系统和应用程序补丁，以修复已知漏洞，降低感染风险。
使用可信赖的杀毒软件，并保持其更新，及时检查并清除系统中的病毒。
注意不要打开或下载来自不可信来源的附件或链接，以减少感染的机会。
使用防火墙和入侵检测系统，限制不明外部访问，防止恶意攻击。
运行实时监控工具，及时发现和阻止任何异常活动。
定期备份重要数据，以防止数据丢失和勒索攻击。