Trojan/DOS.Nover早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Nover存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Nover可能会关闭系统的杀毒软件，使得系统处于无防护状态
定时自动下载并安装其他恶意软件，扩大感染范围
窃取用户的个人信息，包括账号、密码、银行信息等
攻击系统关键进程，使系统不稳定或崩溃
与远程服务器建立连接，接收外部指令，随时改变其行为
破坏系统关键文件，导致系统无法正常启动。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet HLLP.NOVER.6176
Microsoft Virus:DOS/Nover
Kaspersky Virus.DOS.HLLP.Nover.8528
ESET-NOD32 HLLP/Nover.8640
典型变种
Trojan/DOS.Nover.8768
Trojan/DOS.Nover.8496
Trojan/DOS.Nover.8528
Trojan/DOS.Nover.8016
Trojan/DOS.Nover.8640
典型样本
类型 值
MD5 3bbe79886acf6ae894c25113b6699566
MD5 2cce051dc0799cbf39f3154e65e88bf7
解决方案
及时更新杀毒软件，并进行全盘扫描，尽可能提高检测率
使用防火墙设备，限制木马的外部连接
定期备份重要文件，并保持文件安全离线存储
避免点击不明链接和下载未知软件，减少感染风险
进行系统加固，关闭不必要的服务和端口，提高系统安全性
如果系统已感染Trojan/DOS.Nover，应立即采取隔离感染机器，清除病毒，恢复系统。