Virus/DOS.Tero早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Tero存在可执行文件、文本等至少4种格式的样本，Generic占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
引发大规模的DOS攻击，利用大量的伪造IP地址向目标服务器发送成千上万的请求，导致服务器资源过载，无法正常提供服务。
修改系统配置文件，使系统在启动时受到病毒控制，并且病毒会随机生成文件名，增加了对杀软的检测和删除的困难度。
植入恶意代码到系统磁盘中，使系统在每次启动时都会运行病毒程序，加剧对目标系统的破坏。
利用网络漏洞扫描工具主动寻找目标系统的漏洞，并尝试利用这些漏洞入侵目标系统，增加系统被感染的风险。
欺骗用户点击恶意链接或下载附件，通过社会工程学手段传播病毒，扩大感染范围。
在被感染的系统中隐藏自身的痕迹，避免被发现和清除。
样本格式分布
格式类别 占比 格式描述
Generic 40.0% 不能确定具体类型的文件
BinExecute 30.0% 用于执行二进制文件的工具或实用程序
Text 20.0% 纯文字内容的文件
Archive 10.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet Tero.308
Microsoft Virus:DOS/Tero
Kaspersky Virus.DOS.Tero.293
典型变种
Virus/DOS.Tero.308
Virus/DOS.Tero.lh
Virus/DOS.Tero.293
Virus/DOS.Tero.lw
典型样本
类型 值
MD5 38b2a44b0f00bc45ff40ec9cf8055481
MD5 29faa43ba7cad049c0c33c28174222c2
MD5 7cf7b39e205d3411693e947bf620abfd
MD5 853ffb6ef3d5001865f91f284ae6019d
MD5 dd5fd943c36fade4a70aefd46dd5561a
解决方案
更新系统和应用程序的补丁，修复可能存在的漏洞，减少病毒利用漏洞的机会。
安装有效的杀软软件，并保持其及时更新，提高对病毒的检测和清除能力。
启用防火墙，限制对系统开放的端口和网络连接，减少受到DOS攻击的风险。
定期备份重要数据，并将备份数据存储在安全的地方，以备系统受到病毒破坏时能够快速恢复数据。
教育用户提高安全意识，避免点击可疑链接和下载未知来源的附件，防止通过社会工程学手段传播病毒。
如果系统已经感染了病毒，及时使用专业的病毒清除工具对系统进行全面扫描和清除，确保系统的安全性。