Virus/DOS.Tcp早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Tcp存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大规模TCP协议攻击，通过占用大量的网络连接资源，导致被攻击系统的网络服务无法正常运行。
利用TCP协议中的漏洞进行攻击，例如利用SYN Flood攻击、ACK Flood攻击等方式，使目标系统资源耗尽。
伪造TCP数据包，欺骗目标系统和网络设备，引发网络拥塞或服务故障。
对目标系统进行端口扫描，并在暴露的开放端口上发起攻击，尝试入侵系统。
植入后门程序，通过远程控制手段获取被攻击系统的控制权，进一步造成系统安全风险。
干扰杀软及防火墙的正常运行，通过终止或修改相关进程、修改注册表等手段，躲避被检测和清除的风险。
样本格式分布
格式类别 占比 格式描述
BinExecute 68.0% 用于执行二进制文件的工具或实用程序
Generic 12.0% 不能确定具体类型的文件
Archive 12.0% 将文件或数据进行压缩和存储
DBinExecute 4.0%
DOS 4.0%
其他厂商命名
厂商 命名
Fortinet W32/Cryp_PESpin.TCP!tr
Microsoft Virus:DOS/Tcp
Kaspersky not-a-virus:AdWare.Win32.Wajam.tcp
ESET-NOD32 a variant of Win32/Kryptik.TCP
典型变种
Virus/DOS.Tcp.408
Virus/DOS.Tcp.ps
Virus/DOS.Tcp.pr
Virus/DOS.Tcp.407
典型样本
类型 值
MD5 78ae87a19bc111f0bd0c043dea368c11
MD5 c0432f42471a8857044097d233c6bf12
MD5 c48f8555ec3e73f69765f6d57a254db2
MD5 cf34751f4c975700cce69095b5d74bfd
MD5 99b8880fb873cae56551926b0d95a633
解决方案
及时更新杀软和操作系统补丁，确保系统和程序的安全性。
加强网络安全策略，限制外部访问和连接，并配置合适的防火墙规则。
启用系统日志和网络监测，及时发现和排查异常网络流量和攻击行为。
使用专业的安全设备，如入侵检测系统(IDS)、入侵预防系统(IPS)等，提高系统和网络的防护能力。
定期备份和恢复关键数据，以免被病毒攻击导致数据丢失。
对系统进行定期漏洞扫描和安全评估，及时修复和强化系统的安全性。