Virus/DOS.Kit早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Kit存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
洪水攻击: 病毒通过向目标服务器发送大量虚假数据包，消耗目标系统带宽，导致无法正常处理合法请求。
Ping攻击: 病毒发送伪造的ICMP请求包给目标系统，使其响应时间过长，进而占用目标系统资源，导致服务响应缓慢甚至无法提供服务。
SYN洪泛: 病毒通过向目标服务器发送大量TCP连接请求的SYN包，使目标系统耗尽资源来响应这些请求，导致服务不可用。
特定协议攻击: 病毒通过利用目标系统的特定漏洞或弱点，发送特定的恶意请求或数据包，触发系统异常或崩溃。
DDOS攻击：病毒利用多个被感染的计算机进行协同攻击，以大规模的流量淹没目标系统，造成服务瘫痪。
加密攻击：病毒采用加密技术对恶意代码进行加密，以逃避杀软的检测和分析。
样本格式分布
格式类别 占比 格式描述
BinExecute 70.42% 用于执行二进制文件的工具或实用程序
Archive 16.9% 将文件或数据进行压缩和存储
Generic 12.68% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet W32/Kit.A!kit
Microsoft PWS:Win32/Sagic.gen!kit
Kaspersky not-a-virus:AdWare.Win32.DownloadHelper.kit
ESET-NOD32 a variant of W97M/VMPCK1A-Kit
典型变种
Virus/DOS.Kit.dns
Virus/DOS.Kit.2384
Virus/DOS.Kit.b
典型样本
类型 值
MD5 27dedcf78b27a5cf96a97183a7222891
MD5 651956ec02a2a2c0464f95b95dc7fbd1
MD5 bf082d96fbe1a20a6667ac3a73366bb1
MD5 bc4194425308f89e45df9afc464ee1f1
MD5 cd9a9ae79b12195d95de51d16deddd61
解决方案
网络流量监测：安装并配置网络流量监测设备或软件，能够及时发现异常流量，并及时采取相应措施进行阻断。
增加系统带宽：通过增加系统的网络带宽，能够增加系统能够承受的网络流量，在一定程度上抵御DOS攻击。
强化防火墙设置：合理设置防火墙规则，限制对特定端口或协议的访问，能够减少系统受到的DOS攻击。
应用层过滤：部署应用层过滤设备或软件，能够检测和阻止恶意流量，减轻DOS攻击的影响。
加固服务器系统：定期更新操作系统和应用程序的安全补丁，关闭不必要的服务和端口，增强服务器的安全性。
协调合作：与网络服务提供商、防火墙厂商等合作，共同应对DOS攻击，及时调整防护策略和升级设备。