Virus/DOS.Fantasma早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Fantasma存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
网络流量洪泛：病毒通过发送大量的网络请求，占用网络带宽，导致合法用户无法正常访问网络资源。
资源耗尽攻击：病毒利用系统或应用程序的漏洞，持续创建大量占用资源的进程或线程，耗尽系统的CPU、内存和磁盘空间，使系统性能严重下降。
拒绝服务攻击：通过发送大量的无效或恶意请求，病毒使目标系统耗尽处理能力，导致系统无法正常对外提供服务。
反沙箱逃避：病毒具有检测虚拟环境或沙箱的能力，一旦发现自身在虚拟环境中运行，会停止破坏性行为，以躲避杀软等安全工具的分析。
自我复制和传播：病毒会尝试自我复制并传播到其他系统，以扩大感染范围和影响力。
修改注册表和系统设置：病毒会修改系统的注册表项和配置文件，以实现自启动和持久感染，确保在系统启动时自动运行并隐藏自身存在。
样本格式分布
格式类别 占比 格式描述
BinExecute 88.89% 用于执行二进制文件的工具或实用程序
Generic 11.11% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Fantasma.1000
Microsoft Virus:DOS/Fantasma
Kaspersky Virus.DOS.Fantasma.1000
ESET-NOD32 Fantasma.1000
典型变种
Virus/DOS.Fantasma.bmm
Virus/DOS.Fantasma.1000
典型样本
类型 值
MD5 bf1c2ba46a8c0b124552f7644c7047c6
MD5 b9fa5ad3b8b0eb762c9cf42a38a1c8b2
MD5 d3faf29f6bbe04141af322e0275c2d02
MD5 b1417447f65c8a5b4414706641bbdf23
MD5 c7782f5c4e1aabe0616589848e0135ac
解决方案
安装和更新杀毒软件：及时安装并定期更新一款可靠的杀毒软件，能够及时识别和清除病毒。
开启防火墙：确保操作系统的防火墙功能已经开启，限制来自外部网络的不明连接和请求，减少病毒入侵的风险。
更新操作系统和应用程序：及时安装操作系统和应用程序的最新补丁，修复已知的漏洞，提高系统的安全性。
强化访问控制：采用合理的访问控制策略，限制非授权用户的访问权限，减轻病毒对系统的攻击。
过滤网络流量：通过配置网络设备或使用入侵检测/防御系统，过滤和阻止恶意流量，有效抵御病毒的攻击。
注意社交工程攻击：不轻易点击未知来源的链接、附件，尤其是来自不信任的邮件或社交媒体，以防止病毒通过钓鱼等方式传播。