Trojan/DOS.Khiladi早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Khiladi存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
攻击指定的目标服务器或网络，通过多个攻击节点同时发起大量的请求，占用目标系统资源，造成服务不可用或响应缓慢。
利用各种方法伪造源IP地址，使得攻击源难以追溯，增加攻击者的隐匿性。
使用特定的攻击工具或蠕虫病毒感染其他计算机，构成一个分布式的攻击网络，提升攻击规模和威力。
进行不断变化的攻击策略，包括使用不同的攻击方式、变换攻击源IP和目标IP，以规避防御措施。
利用各类漏洞或弱口令攻击目标服务器，获取系统权限，然后植入后门程序或其他恶意软件，为日后的攻击提供更多的资源或控制权限。
劫持合法的系统进程或服务，使其执行恶意代码，从而加剧攻击的威胁或破坏程度。
样本格式分布
格式类别 占比 格式描述
BinExecute 57.14% 用于执行二进制文件的工具或实用程序
Archive 14.29% 将文件或数据进行压缩和存储
Script 14.29% 指包含编程代码的文件，可以被解释器执行
Text 14.29% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet BAT/Khiladi.A!tr
Kaspersky Trojan.DOS.Khiladi
ESET-NOD32 Khiladi.A

典型样本
类型 值
MD5 8ba45b89514bf216f0083b608bbc80f6
MD5 4904b8c1e7db8324aad4910fd86e94dd
MD5 d74a8e8b724f6ec2fefaac8d2f8a29c7
MD5 955cd91771dc4d2070a4ffb20a736d48
MD5 fc163bd61737d3d065bd9193bb2bac60
解决方案
部署防火墙和入侵检测系统（IDS/IPS），及时发现并阻止DDoS攻击流量的传入。
提供足够的带宽和硬件资源，以应对大规模DDoS攻击所带来的流量冲击。
及时更新系统和应用程序的安全补丁，以修补潜在的漏洞，防止攻击者利用。
使用强大的访问控制机制和密码策略，限制远程访问和密码猜测等攻击。
定期备份重要的数据和系统配置，并确保备份的安全可靠，以便在攻击发生时能够快速恢复。
进行安全培训和意识提醒，加强员工的安全意识，防止社会工程等方式导致的信息泄露或攻击风险。