Trojan/DOS.MkDirs早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.MkDirs存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
病毒会先对系统进行扫描，以获取系统驱动器目录结构信息。
接着，病毒根据获取的驱动器目录信息，逐层创建目录结构，并将自身的副本复制到每个目录下。
病毒递归创建目录的过程中，可能会不断地消耗系统资源，如内存和磁盘空间。
当系统的资源接近耗尽时，病毒还可能导致系统运行缓慢甚至崩溃。
Trojan/DOS.MkDirs还可能通过修改注册表项或系统文件，以提高其持久性和隐蔽性。
该病毒还可能尝试关闭或绕过杀软的保护机制，使其自身可以持续存在并对系统造成更大的破坏。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Archive 16.67% 将文件或数据进行压缩和存储
Generic 16.67% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet BAT/MkDirs.I!tr
Microsoft Trojan:BAT/Mkdirs.gen!A
Kaspersky Trojan.BAT.MkDirs.i
ESET-NOD32 BAT/MkDirs.I
典型变种
Trojan/DOS.MkDirs.g
Trojan/DOS.MkDirs.h
Trojan/DOS.MkDirs.e
Trojan/DOS.MkDirs.i
Trojan/DOS.MkDirs.a
典型样本
类型 值
MD5 55bdf073ad9a8e64e9e49ea5cb0d4ff2
MD5 8f11cbfd416a922a048c5e6f26c6d2f2
MD5 af95bef606bde22f9d66f735499e7402
MD5 a68a889bb7cb1369b213ab1ce62585ad
MD5 4578cc2bbc5c3c7a7c3ce945694e4243
解决方案
定期更新杀毒软件和操作系统的补丁，以保持系统的安全性。
使用可信赖的杀毒软件对系统进行全盘扫描，并将病毒彻底清除。
针对该病毒的特点，可以使用一些专门针对驱动器目录结构攻击的安全软件进行防护。
加强系统的安全策略，限制非信任程序对系统资源的访问和操作。
注意安全在线行为，避免点击未知的链接或下载不明来源的文件。
定期备份重要的数据和文件，以防止病毒攻击导致数据丢失。