HackTool/DOS.SVCT[Constructor]早在2006年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.SVCT[Constructor]存在压缩文件、可执行文件至少两种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
攻击DOS服务，导致其停止响应；
通过远程代码执行恶意操作，例如下载和执行其他恶意程序；
通过修改系统注册表来实现自启动；
隐藏病毒文件和进程，以避免被发现和清除；
窃取用户敏感信息，如登录凭证和个人数据；
对抗杀软，例如通过反向工程绕过病毒扫描。
样本格式分布
格式类别 占比 格式描述
Archive 50.0% 将文件或数据进行压缩和存储
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet BAT/SVCT!tr
Kaspersky Constructor.DOS.SVCT
ESET-NOD32 SVCT.11 Constructor
典型变种
无
典型样本
类型 值
MD5 9beb836db93eb15b000d2ed8a88fc8e5
MD5 5129c16c0bf035a3982d0ca7e7a9f5eb
MD5 df6c00a8fe63d036bf759a2b84f2114b
MD5 bef248ba8bf790a5de53cb108848959e
解决方案
及时更新杀软的病毒库，以便能够识别并清除最新变种的病毒；
定期进行系统和软件的安全补丁更新，以修复可能存在的漏洞；
配置强大的防火墙来限制恶意流量的传输；
安装有效的反病毒软件，并进行实时监测和扫描；
避免下载和执行来历不明的文件和程序；
定期备份重要数据，以防止数据丢失。