Virus/DOS.Crkv早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该感染式病毒变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Virus/DOS.Crkv存在可执行文件至少两种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大规模的SYN洪泛攻击，通过向目标系统发送大量SYN请求，在目标系统的连接队列中占用大量资源，导致合法用户无法建立新的连接。
采用ICMP洪泛攻击，向目标系统发送大量的ICMP回显请求，造成目标系统处理过载，导致网络延迟和服务质量下降。
利用漏洞攻击，通过发送特制的数据包或利用目标系统的软件漏洞来执行恶意代码，以获取对目标系统的控制权。
向目标系统发送大量的无效请求，例如UDP洪泛攻击，使目标系统的网络带宽被占用，导致网络拥堵，正常流量无法正常传输。
修改目标系统的关键配置文件，破坏目标系统的稳定性和安全性，可能导致系统崩溃或数据丢失。
对抗杀软，病毒会检测目标系统上的杀毒软件，并使用各种技术手段来绕过杀毒软件的检测和清除，以保持对目标系统的持久性感染。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Generic 50.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet W32/Llac.CRKV!tr
Kaspersky Trojan.Win32.Chapak.crkv
ESET-NOD32 a variant of Win32/Kryptik.CRKV
典型变种
Virus/DOS.Crkv.1144
Virus/DOS.Crkv.bsa
典型样本
类型 值
MD5 536a0ef7b54500860709d8bb0cdc01ba
MD5 d88e43634c0739491ca327d27747ff7e
解决方案
安装更新的杀毒软件，并确保其处于最新状态，以及定期进行病毒库的更新。
安装和配置网络防火墙，以便监控和过滤进出系统的数据流量，有效阻止恶意数据包的传输。
配置系统和网络设备以识别和阻止异常的网络流量，例如通过启用SYN Cookies等技术来防止SYN洪泛攻击。
及时修补操作系统和应用程序的安全漏洞，以减少病毒利用漏洞入侵的风险。
定期备份重要的系统和数据，以便在遭受病毒攻击或系统崩溃时可以及时恢复。
加强用户教育和培训，提高员工对网络安全的意识，避免点击可疑的链接或打开来自未知来源的附件，以防止病毒感染。