Trojan/DOS.GDE早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.GDE存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
使用DDoS（分布式拒绝服务攻击）技术，通过大量的虚假请求和流量洪水攻击目标设备的网络，导致目标设备无法正常处理合法网络请求。
利用漏洞和弱密码攻击目标设备的系统，获取足够的权限以执行恶意活动。
通过创建恶意进程或修改系统配置文件，隐匿病毒自身并阻止杀软的检测和清除。
植入Rootkit（系统控制工具包），以提供对目标设备的持久访问和控制权。
收集被感染设备的敏感信息，如登录凭据和个人资料，并将其传送给攻击者。
破坏目标设备的数据完整性和可用性，如删除或篡改系统关键文件。
样本格式分布
格式类别 占比 格式描述
BinExecute 75.0% 用于执行二进制文件的工具或实用程序
Archive 25.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/AutoRun.GDE!worm
Microsoft Trojan:Win32/Redline.GDE!MTB
Kaspersky Trojan.Win32.Nisloder.gde
ESET-NOD32 a variant of Win32/Kryptik.GDE
典型变种
Trojan/DOS.GDE.a
Trojan/DOS.GDE.b
典型样本
类型 值
MD5 ab5010d93c1c51dfcd82645b005de49d
MD5 ca3de899a8c41367d8681f6910185065
MD5 56325885579b944e8f49c39f82aa70c8
MD5 ad9acb3f02dc9209102f047f3ca21078
MD5 ce05ed763b3ea670d55267171cedea48
解决方案
及时更新操作系统和应用程序的补丁，以修复已知漏洞，并加强设备的安全性。
安装和定期更新可靠的杀毒软件和防火墙，以提供实时保护和检测。
使用强密码和双因素身份验证，防止恶意攻击者通过破解密码获取设备访问权限。
定期备份重要数据，并确保备份数据存储在安全且离线的位置，以便在发生攻击或数据丢失时进行恢复。
限制设备的远程访问和开放的网络服务，减少攻击面。
加强员工的安全意识培训，提醒他们警惕打开或下载可疑的电子邮件附件和链接。