Virus/DOS.Mevir早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Mevir存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为

拦截和禁用杀软程序：病毒会监测系统中运行的杀软程序，并通过篡改或禁用这些程序的文件来对抗其识别和清除。
破坏系统文件：病毒会修改关键系统文件，损坏或删除系统的重要组件，导致系统运行异常甚至无法启动。
创建自启动项：病毒会在系统启动时自动执行，并将自身添加到自启动项中，保证自身在系统启动后能够继续运行。
篡改注册表项：病毒会修改系统注册表中的关键项，以确保自身的持久性存在，并阻止被杀软或系统清除。
传播方式：病毒可以利用网络、可移动设备或恶意下载等途径传播，通过感染其他系统和文件来扩散并增加自身的感染范围。
窃取敏感信息：病毒可能会获取用户的敏感信息，如个人账号、密码等，然后传输给攻击者，用于非法活动。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Generic 22.22% 不能确定具体类型的文件
Archive 11.11% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet Mevir
Kaspersky Virus.DOS.Mevir
ESET-NOD32 Mevir.295.A

典型样本

类型 值
MD5 f2a846416e9d7f61559f326eb4d0cbe1
MD5 b1977d1833f32045fb14a0cb24204e66
MD5 43f58964bb0f8d61a29fc8ea7eee2cfd
MD5 e8e1f11876054af075bac064513a4fba
MD5 ac615dca75023d7b0f8a708588a25b67
解决方案

更新杀软程序：及时升级杀软程序并更新病毒库，以确保能够及时识别和清除病毒。
扫描系统文件：通过杀软程序对系统文件进行全面扫描，找出被病毒篡改或感染的文件，并进行修复或删除。
清除注册表项：检查系统注册表中的异常项，清除与病毒相关的注册表键值，恢复注册表的完整性。
隔离受感染的系统：对于已被感染的系统，应当立即进行隔离，避免病毒进一步传播和侵害其他系统。
强化网络安全措施：加强网络入侵检测、防火墙、入侵防御等安全措施，减少病毒通过网络进行传播的可能性。
建立备份机制：定期对重要数据和系统进行备份，并存储在离线和安全的位置，以便在遭受病毒攻击后能够迅速恢复。