Virus/DOS.Li-Jian早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Li-Jian存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，由于该感染式病毒的变种变化较大，安全厂商依托不同的检测方式进行检测覆盖，其中ESET-NOD32，Fortinet等安全厂商等安全厂商给出了不同的命名。
病毒行为
使用IP欺骗技术欺骗目标服务器，隐藏真实的攻击来源。
发起大量的半连接或SYN洪水攻击，占用目标服务器的网络资源。
利用DDoS技术发送大量伪造的请求，使目标服务器超负荷运行。
采用低速HTTP攻击，以较低的速度发送大量的HTTP请求，导致目标服务器的响应速度变慢。
使用多线程技术加快攻击速度，并能够自动感染其他主机。
修改系统配置文件或注册表项，以保持自身的持久性并自动启动。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Disfa.JIAN!tr
Microsoft TrojanDownloader:Win32/VB.LI
Kaspersky Virus.DOS.Li-Jian.631
ESET-NOD32 a variant of Win32/Injector.LI
典型变种
Virus/DOS.Li-Jian.631
Virus/DOS.Li-Jian.yh
典型样本
类型 值
MD5 9936ac1af88b32eee7166034ec914b06
MD5 c130a5e57399906157460e560497cc46
MD5 133e1e00f89e85d16dbe6fdfe5a96fad
MD5 bf3c4025d002a438141f3ceeb4a0354d
MD5 bb3797c3f0019dde75bc0ebb93bf1baa
解决方案
及时更新操作系统和杀软补丁，以修复可能存在的漏洞。
安装防火墙，并配置适当的防火墙规则，限制不明访问。
使用DDoS防护设备或服务，可以有效过滤恶意流量和病毒攻击。
加强网络安全意识教育，提高用户对恶意链接和附件的警惕性，避免点击不明链接或下载可疑文件。
定期备份系统和重要数据，以防止病毒攻击导致的数据丢失。
在系统中部署入侵检测系统（IDS）和入侵防御系统（IPS），及时发现并阻止Virus/DOS.Li-Jian等恶意攻击。