HackTool/DOS.NedDemo[VirTool]早在2006年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是VirTool，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.NedDemo[VirTool]存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
发起大量的网络请求，占用目标计算机的网络带宽，导致网络拥堵，使得合法用户无法正常访问目标。
利用目标计算机的漏洞，发起大规模的TCP/UDP洪水攻击，消耗目标系统的系统资源，导致系统崩溃或运行缓慢。
利用僵尸网络（Botnet）的力量，将大量的恶意数据发送到目标计算机，造成目标系统的负载过高，从而引发服务的崩溃。
实施分布式拒绝服务攻击（DDoS），同时发起多个攻击请求，从不同的源地址向目标系统发起攻击，使得目标系统无法判断攻击的来源，增加了对抗防御的难度。
利用各种蠕虫和后门程序，将目标计算机加入到僵尸网络中，作为攻击的一部分，从而增加攻击力度和持续时间。
修改目标系统的配置文件或注册表项，使得系统在启动时自动运行病毒，持久化感染，从而进一步加剧攻击的影响。
样本格式分布
格式类别 占比 格式描述
BinExecute 60.87% 用于执行二进制文件的工具或实用程序
Generic 30.43% 不能确定具体类型的文件
Archive 8.7% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet NedDemo.D!kit
Kaspersky VirTool.DOS.NedDemo.b
典型变种
HackTool/DOS.NedDemo.a[VirTool]
HackTool/DOS.NedDemo.b[VirTool]
HackTool/DOS.NedDemo.f[VirTool]
HackTool/DOS.NedDemo.d[VirTool]
HackTool/DOS.NedDemo.e[VirTool]
典型样本
类型 值
MD5 03d88568ab282f0f2a7ba38025641ba1
MD5 21df4fb1d3a350f0a022b3d6c41b5271
MD5 56f42168025e1ff7d164ab549fe48d62
MD5 6caf012f3838d4d6fa5275fea9a92612
MD5 74fbc40446027cdf40ae8e5083cbaa12
解决方案
及时更新操作系统和相关软件的补丁，修复系统漏洞，减少被攻击的风险。
安装可靠的防火墙和入侵检测系统，及时发现和阻止异常网络流量，对抗洪水攻击。
使用安全性较高的密码和身份验证机制，避免黑客通过暴力破解手段获取系统权限。
定期备份重要数据，并将备份数据存储在离线、安全的地方，以防止数据丢失或被病毒感染。
安装可信赖的杀毒软件，并及时更新病毒库，扫描和清除潜在的病毒文件。
提高用户的安全意识，避免点击可疑链接和下载不明来源的文件，防止病毒通过社交工程手段传播。