Virus/DOS.DW早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.DW存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
修改文件属性：Virus/DOS.DW会修改被感染文件的属性，使其变得隐藏和只读，以逃避杀软的扫描。
劫持中断：病毒会劫持系统的中断，当杀软尝试进行磁盘扫描时，病毒会捕获中断并模拟正常文件结构，以欺骗杀软。
破坏文件头部：该病毒会破坏被感染文件的文件头部信息，这会导致杀软无法正确识别文件类型，从而无法对文件进行清除。
干扰杀软进程：Virus/DOS.DW会监视系统中运行的杀软进程，并通过干扰其运行、篡改其内存数据等手段来使杀软失效。
修改系统配置：病毒会修改系统的配置文件，使得杀软在启动时无法自动加载和运行。
加密病毒代码：为了避免被杀软发现和分析，该病毒会使用加密算法对自身的代码进行加密。这使得杀软在进行扫描时无法正确识别病毒代码。
样本格式分布
格式类别 占比 格式描述
BinExecute 81.82% 用于执行二进制文件的工具或实用程序
Archive 11.36% 将文件或数据进行压缩和存储
Generic 6.82% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet W32/Ipamor.DW!tr
Microsoft TrojanDownloader:O97M/Obfuse.DW
Kaspersky not-a-virus:HEUR:AdWare.AndroidOS.Agent.dw
ESET-NOD32 JS/CoinMiner.DW potentially unwanted
典型变种
Virus/DOS.DW.736
Virus/DOS.DW.bci
Virus/DOS.DW.800
典型样本
类型 值
MD5 18fa8aff06605f893edb324eb4b9c8f1
MD5 c6be30648dd4939b910ffb335aedaf41
MD5 cbe9aedf7ad5f3081c711a5ad2a4ab31
MD5 037e702a910bc134d94ae26b5de9d312
MD5 17093e9d460c48092c9abe9e9179ace2
解决方案
及时更新杀软：保持杀软程序的最新版本，以获取对新型病毒的识别和解决能力。
定期进行杀毒扫描：定期对系统进行全盘扫描，确保及时发现和清除病毒。
备份重要数据：定期备份重要数据，并保持备份文件与系统隔离，以避免数据丢失。
使用防火墙：配置和使用防火墙软件，限制非法网络访问，减少病毒传播的可能性。
小心附件和下载：避免打开未知的附件，不下载来历不明的文件，这有助于减少病毒感染的风险。
执行系统修复：如果发现系统出现异常，及时进行系统修复，包括修复被破坏的文件头和恢复被修改的系统配置。