Virus/DOS.Wally早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Wally存在文本、可执行文件等至少4种格式的样本，文本占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
对抗杀软：病毒会检测系统中安装的杀软，并试图绕过其检测和阻止机制，以确保其自身持续运行。
文件破坏：病毒会删除或破坏系统关键文件，导致系统无法正常启动或运行，从而达到拒绝服务攻击的目的。
资源消耗：病毒会不断创建大量的虚拟进程、占用系统内存和CPU资源，使得系统性能急剧下降，甚至导致系统崩溃。
网络攻击：病毒可能利用系统漏洞或后门程序进行网络攻击，包括DDoS攻击、僵尸网络控制等，进一步增加目标系统的负载和遭受攻击的风险。
数据篡改：病毒可能利用系统权限漏洞，修改关键数据，破坏系统的完整性和可用性，进一步造成系统瘫痪。
反安全机制：病毒可能监视和干扰安全软件的正常工作，屏蔽安全警报、禁用防火墙等，以确保自身运行并隐藏其活动的痕迹。
样本格式分布
格式类别 占比 格式描述
Text 44.44% 纯文字内容的文件
BinExecute 33.33% 用于执行二进制文件的工具或实用程序
DBinExecute 11.11%
Generic 11.11% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet W97M/Wally.A
Microsoft Worm:IRC/Wally.A
Kaspersky IRC-Worm.IRC.Wally.b
ESET-NOD32 Wally.B
典型变种
Virus/DOS.Wally.bnp
Virus/DOS.Wally.1029
Virus/DOS.Wally.981
Virus/DOS.Wally.blt
典型样本
类型 值
MD5 17331983ea5c294d953f9d2e0ab2d306
MD5 1873784a9ec1bcbf3f42267ca2233c92
MD5 317b6a4ff70413508f665d98c5850fcd
MD5 32c028086288a81f4dd1c0e6881685cd
MD5 d28b819c9f8254fe83135f08ff1b5f6d
解决方案
更新杀软：及时更新防病毒软件的病毒库和补丁，以增强其对Virus/DOS.Wally的检测和防护能力。
系统修复：修复被破坏的系统文件，可以通过系统还原、修复安装或使用修复工具等方式进行。
强化安全配置：加强系统安全配置，包括及时安装系统补丁、禁用不必要的服务和端口、限制非管理员权限等，以提升系统的抵御能力。
应急响应：在遭受Virus/DOS.Wally攻击时，及时启动应急响应计划，尽快隔离和清除受感染系统，防止病毒进一步传播和造成损失。
网络安全加固：通过加固网络设备和配置防火墙、入侵检测系统等，提高网络的安全性，减少遭受Virus/DOS.Wally等攻击的可能性。
培训和教育：加强员工的安全意识和信息安全培训，提高其对病毒预防和处理的认识与能力，从而减少Virus/DOS.Wally对企业的威胁。