HackTool/DOS.Zombie[VirTool]早在2009年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是VirTool，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.Zombie[VirTool]存在可执行文件、压缩文件等至少4种格式的样本，Generic占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
感染控制服务器：病毒通过连接到控制服务器获取具体的攻击指令。
招募僵尸网络：病毒会利用漏洞或社会工程学手段感染大量主机，将它们变成僵尸，成为发动DDoS攻击的工具。
分布式拒绝服务攻击：病毒通过发起大规模的DDoS攻击，利用僵尸网络中的各个主机同时向目标服务器发送大量的请求，消耗其资源。
动态调整攻击策略：病毒具有对抗杀软的能力，它可以根据被攻击对象的防御措施动态调整攻击策略，绕过杀软的检测。
遮蔽自身活动：病毒会进行自我隐藏和保护，隐蔽其文件、进程和注册表等关键信息，以免被杀软和防火墙发现。
更新和升级：病毒会定期从控制服务器获取更新，并升级自身的功能和特性，提高其感染和攻击能力。
样本格式分布
格式类别 占比 格式描述
Generic 42.86% 不能确定具体类型的文件
BinExecute 28.57% 用于执行二进制文件的工具或实用程序
Archive 14.29% 将文件或数据进行压缩和存储
DOS 14.29%
其他厂商命名
厂商 命名
Fortinet W64/Zombie.B!tr
Microsoft Trojan:Win32/Zombie.A
Kaspersky Virus.DOS.Zombie.2413
ESET-NOD32 Win32/Zombie.838

典型样本
类型 值
MD5 844d068a377b163d97892512347b9746
MD5 dc2d82f18463818287ec3acddd81b726
MD5 ede851ca4e36c506b7512a8cbb3d77dd
MD5 31674a26b3e00b61788feb915836e6f3
MD5 93d6890fc5222a0a811aefc432820543
解决方案
使用防火墙和入侵检测/防御系统：配置和使用防火墙可以过滤和阻止恶意流量，减轻DDoS攻击带来的影响。
更新和升级软件：及时更新服务器和杀软的补丁和版本，以修复已知的漏洞，提高系统的安全性。
强化访问控制策略：限制对服务器的访问权限，仅开放必要的端口和服务，减少被攻击的风险。
网络流量监控和分析：使用网络流量分析工具，可以及时发现和定位异常流量，及时采取相应的防御措施。
加强员工安全意识培训：通过教育和培训提高员工的安全意识，防止被社会工程学手段利用。
定期备份和恢复：定期备份关键数据和系统设置，以防止被DDoS攻击或其他病毒感染后的数据丢失和破坏。