HackTool/DOS.Virology[Constructor]早在2009年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.Virology[Constructor]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为

欺骗用户下载并运行恶意程序，通过社交工程手段传播，例如伪装成合法软件或通过欺骗用户点击恶意链接。\
利用操作系统漏洞进行攻击，例如利用未修补的安全漏洞进行远程代码执行，从而获取系统权限。\
植入恶意代码并隐藏自身，以免被杀软检测到，通过反调试技术或根据进程列表判断是否被监控。\
损坏或篡改系统文件和注入恶意代码，导致系统崩溃、数据丢失或敏感信息泄露。\
攻击网络防火墙和入侵检测系统，通过欺骗或欺诈方式绕过安全措施，以保持长时间的触发状态。\
窃取用户敏感信息，包括但不限于用户名、密码、银行账户信息等，用于非法牟利或进行身份盗窃。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet Virology.A!tr
Microsoft Constructor:DOS/Virology
Kaspersky Constructor.DOS.Virology
ESET-NOD32 Virology Constructor

典型样本

类型 值
MD5 4e7b0f8829bf20c6f717334d0ab558ca
MD5 da1048a7e78f22a5160456a25f1806de
解决方案

定期更新操作系统和应用程序的安全补丁，以修复已知漏洞，防止病毒利用。\
安装可靠的杀毒软件和防火墙，并及时更新病毒库，扫描和阻止恶意文件的运行。\
对下载的文件进行谨慎检查，尤其是来自不可信源的文件，避免运行未知来源的程序。\
定期备份重要数据，以防止文件损坏或丢失，并存储在离线、安全的设备上。\
提高安全意识，避免点击可疑链接、打开垃圾邮件附件或下载来历不明的文件。\
定期监测系统行为和网络流量，查找异常活动，及时采取措施阻止和清除潜在的恶意行为。