Virus/DOS.Randall早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Randall存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少1个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
植入自身到计算机的启动扇区或引导记录中，以在计算机启动时加载并执行病毒代码。
修改或删除系统文件，导致操作系统无法正常启动或运行。
展示虚假的弹窗或警告消息，诱导用户点击或执行病毒代码。
针对杀毒软件进行反侦察和反监控，以免被杀软检测和清除。
在计算机的文件系统或网络上散播病毒复制，并感染其他计算机系统。
利用DOS系统的弱点，对目标计算机进行拒绝服务攻击，导致系统崩溃或无法正常工作。
样本格式分布
格式类别 占比 格式描述
BinExecute 77.78% 用于执行二进制文件的工具或实用程序
Archive 11.11% 将文件或数据进行压缩和存储
Generic 11.11% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Kaspersky Virus.DOS.Randall.3072
典型变种
Virus/DOS.Randall.3072
Virus/DOS.Randall.eoe
典型样本
类型 值
MD5 a8c551542610388036719346513da9c1
MD5 3b160a65dea2f46388b18571adb171d2
MD5 be44246350a922d92cc61dc7d1399782
MD5 c96347283451471b3e59d513bb9f2863
MD5 ecbcf00450621df34f398c270c2fbb59
解决方案
及时更新杀毒软件并执行全盘扫描，以保证杀软能够识别和清除该病毒。
在使用DOS操作系统的情况下，定期备份重要文件和系统设置，以便在遭受病毒攻击时能够恢复数据。
避免点击或执行来自不明来源的可疑链接、附件或程序，以减少感染风险。
使用防火墙和安全软件来监控和阻止恶意病毒的入侵。
对于受感染的计算机，使用专业的杀毒工具进行清除，或者重新格式化硬盘并重装操作系统。
定期更新操作系统和软件补丁，以修复已知的安全漏洞，减少被病毒利用的可能性。