HackTool/DOS.Killslug[Constructor]早在2009年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.Killslug[Constructor]存在可执行文件、压缩文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
发起大规模的拒绝服务攻击，通过向目标系统发送大量的无效请求，耗尽系统资源，导致系统崩溃或无法正常工作。
利用漏洞进行远程命令执行，黑客可以远程控制受感染的系统，进行恶意活动。
对抗杀毒软件，HackTool/DOS.Killslug[Constructor]会监视并禁用安全软件、防火墙和系统更新，以阻止被发现和清除。
自我复制和传播，病毒可以通过网络、移动存储设备或感染其他程序来传播，加重系统和网络的感染程度。
窃取个人敏感信息，例如登录凭据、银行账号等，以进行进一步的攻击或盗窃。
启动应用程序或系统的后门，为黑客提供远程访问和操控的入口。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Archive 33.33% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Microsoft Constructor:DOS/Killslug
ESET-NOD32 AnsiBomb.Killslug Constructor

典型样本
类型 值
MD5 b32fc345978e327b856c156fca77f80c
MD5 901be5432b2e005c5ec16ee007e75438
MD5 fb8873ba93d6dfe02e1b6444e99caa50
解决方案
更新和及时打补丁，保持系统和软件的最新版本，修复已知漏洞，减少被攻击的风险。
安装可靠的杀毒软件和防火墙，并定期更新病毒库和安全规则，提高系统的安全性。
对系统进行定期备份，并将备份文件存储在离线位置，以防止数据丢失和不可恢复的损失。
加强网络安全措施，包括使用强密码、开启双因素认证、限制不必要的网络服务和端口等，减少系统暴露在外部攻击的机会。
提高员工的安全意识和培训，警惕钓鱼邮件、恶意下载链接等社交工程手段，避免不慎点击恶意资源。
定期进行系统扫描和安全检查，发现潜在威胁并及时采取应对措施，确保系统的安全性和完整性。