Virus/DOS.Lazarus早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Lazarus存在可执行文件、文本等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
DOS攻击: Virus/DOS.Lazarus会利用DOS攻击方式向目标计算机发送大量的无效数据包，导致目标计算机无法正常响应网络请求。
恶意代码注入: 病毒会将自身恶意代码注入系统的重要进程中，以免病毒被杀软或防火墙发现和拦截。
文件篡改与删除: 病毒会将目标计算机上的关键系统文件进行篡改或删除，导致系统无法正常启动或运行。
网络传播: 病毒利用网络漏洞和弱口令远程感染其他计算机，形成病毒传播链。
数据窃取: 病毒可能会窃取用户的敏感信息，如登录凭证、银行账号等。
自我复制: 病毒通过复制自身文件到其他目标计算机上，以扩大感染范围。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Generic 14.81% 不能确定具体类型的文件
Text 7.41% 纯文字内容的文件
Archive 7.41% 将文件或数据进行压缩和存储
Script 3.7% 指包含编程代码的文件，可以被解释器执行
其他厂商命名
厂商 命名
Fortinet W32/Lazarus.Q!tr
Microsoft Trojan:Win64/Lazarus!MTB
Kaspersky Trojan.PowerShell.Lazarus.a
ESET-NOD32 Lazarus.1457
典型变种
Virus/DOS.Lazarus.2222
Virus/DOS.Lazarus.dhm
Virus/DOS.Lazarus.ceb
Virus/DOS.Lazarus.1457
典型样本
类型 值
MD5 1a2db4402bdeaf20dd9594fdb7ef8546
MD5 49e5a3dd1fd1b0cac99114d912668492
MD5 6eb86d328ca9b86bd118a332f0b96b36
MD5 6a1a57f23d6c5262e72f1e5e366ae0e6
MD5 cc07e6c818965c144b6d0f4f4ecbda32
解决方案
更新操作系统: 定期更新操作系统补丁，修复漏洞，以防止病毒利用系统弱点进行攻击。
安装杀毒软件: 安装并及时更新可靠的杀毒软件，实时监测和阻止病毒的入侵。
注意安全防范: 不轻易下载和安装来历不明的软件，不打开来历不明的邮件附件，避免访问不安全的网页。
防火墙设置: 启用防火墙，并设置合理的规则，阻止未经授权的入侵。
定期备份重要数据: 定期备份重要数据，并存储在安全的地方，以防止病毒感染导致数据丢失。
远离僵尸网络: 不参与或支持僵尸网络活动，避免成为病毒传播的一环。