Trojan/DOS.ZipHack早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.ZipHack存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
发起大量网络请求，导致网络拥堵，降低系统的正常访问速度。
占用大量系统资源，导致系统运行缓慢，甚至引发系统崩溃。
修改系统注册表和配置文件，隐藏其存在，增加清除难度。
屏蔽杀毒软件及防火墙，并禁止用户手动启动或升级安全软件。
监控用户的网络活动并窃取敏感信息，如账号密码、银行卡信息等。
利用系统漏洞，向外部服务器发送敏感信息，进一步扩散病毒。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/Ziphack.A!tr
Microsoft Trojan:Win32/ZipHack
Kaspersky Trojan.DOS.ZipHack
ESET-NOD32 ZipHack

典型样本
类型 值
MD5 514e81bc18d83ca7dc010681ca93da16
MD5 bf9549db33a129b03a49ec0da21c075b
解决方案
及时升级和更新杀毒软件，确保杀毒软件具备最新的病毒库。
启用防火墙功能，并定期检查防火墙规则，拦截外部恶意入侵。
定期更新操作系统和应用程序的补丁，修复系统漏洞。
不打开或下载来自不可信来源的ZIP文件，确保文件来源可信。
避免点击可疑的链接或下载附件，提高对网络安全的警惕性。
定期备份重要数据，并确保备份的数据与网络隔离，以防数据损失。