Trojan/DOS.Fancy早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Fancy存在可执行文件、文本等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
定期发送大量的无效请求给杀软的更新服务器，以消耗其带宽和处理能力。
修改杀软的配置和注册表项，使其无法正常加载和运行。
检测杀软的进程并尝试关闭它们，以阻止杀软对病毒进行扫描和清除。
使用根套接字访问系统内核，绕过杀软的监控和拦截。
密集地创建和删除临时文件，使杀软在处理大量文件时变得缓慢和不稳定。
模拟合法程序的行为，以躲避杀软的检测。
样本格式分布
格式类别 占比 格式描述
BinExecute 33.33% 用于执行二进制文件的工具或实用程序
Text 33.33% 纯文字内容的文件
Archive 11.11% 将文件或数据进行压缩和存储
Script 11.11% 指包含编程代码的文件，可以被解释器执行
SoftData 11.11% 如计算机文件、数据库和云存储数据
其他厂商命名
厂商 命名
Fortinet BAT/Fancy!tr
Kaspersky Trojan.DOS.Fancy
ESET-NOD32 Fancy.A

典型样本
类型 值
MD5 0f4102a047a73db7c149d5b7f67b2d21
MD5 12693078da153ee2638c00030360b8bd
MD5 cde15239980c2a339644888388532d4d
MD5 ab1301f188fb5dfaabe224bcf8048429
MD5 14570f8dad7fc048e7c3bd03fd8e14a7
解决方案
更新并安装最新版本的杀软软件，确保其具有对该病毒的识别和清除能力。
定期进行杀毒软件的全盘扫描，以检测和清除潜在的病毒感染。
加强系统安全策略，限制可执行文件的执行权限，避免病毒从外部源加载和运行。
定期备份重要数据，以防止病毒感染导致数据丢失。
设置防火墙和入侵检测系统，及时发现和拦截病毒的入侵行为。
不轻易点击来自未知或可疑来源的链接和附件，以避免病毒的传播。