Virus/DOS.BachKhoa早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.BachKhoa存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
病毒/DOS.BachKhoa会利用DDoS攻击手段对目标系统进行网络攻击，造成目标网站无法正常运行，服务中断。
该病毒会通过TCP/IP协议向目标主机发送大量的无效请求，占用目标系统的资源，导致系统运行缓慢，甚至崩溃。
病毒/DOS.BachKhoa还可以修改系统配置文件，使得被感染的计算机无法正常启动或运行。
它会利用僵尸网络攻击目标系统，利用大量的僵尸主机发送垃圾数据包，使目标系统因处理过多的请求而崩溃。
该病毒还具有IP欺骗功能，可以伪装成其他IP地址，使其攻击行为更难被追踪和阻止。
病毒/DOS.BachKhoa还可以隐藏自己的进程，避免被杀软检测到，从而继续对目标系统进行攻击。
样本格式分布
格式类别 占比 格式描述
BinExecute 89.47% 用于执行二进制文件的工具或实用程序
Generic 10.53% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Riskware/BachKhoa
Kaspersky Trojan-FakeAV.Win32.BachKhoa.u
ESET-NOD32 a variant of Bachkhoa.4192
典型变种
Virus/DOS.BachKhoa.gog
Virus/DOS.BachKhoa.flv
Virus/DOS.BachKhoa.fgi
Virus/DOS.BachKhoa.4192
Virus/DOS.BachKhoa.3687
典型样本
类型 值
MD5 5cf32b1e3f780112043bb66d32a0b1a1
MD5 78422c1ec9d07dca7b568ff3f4a320a1
MD5 bf1991d64c84979500b381fa929011c1
MD5 e232b56e9ab0cacba0067660479ce901
MD5 2f4e81eb9337b46ba31b0977150fe4f6
解决方案
及时更新操作系统、杀软和防火墙等安全补丁。
配置网络设备，限制IP地址访问频率，进行流量过滤和防护。
使用DDoS防护设备，进行实时监控和攻击流量分析。
合理配置服务器资源，增加硬件防护措施，提高系统的抗攻击能力。
加强网络安全意识培训，教育用户不点击可疑链接和打开来历不明的附件。
定期备份重要数据和系统配置文件，以防病毒攻击导致数据丢失或系统崩溃。