Trojan/DOS.Casper早在2009年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Casper存在可执行文件、文本等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
导致系统崩溃或变得极度缓慢：病毒通过发送大量的数据包或者占用过多的系统资源，导致系统无法正常运行，甚至系统崩溃。
破坏系统文件和关键应用程序：病毒会删除或篡改系统关键文件和应用程序，导致系统无法正常启动或使用。
拒绝服务攻击：病毒会利用系统资源进行拒绝服务攻击，造成网络服务不可用，导致系统无法正常工作。
窃取敏感信息：病毒可能会截取用户的敏感信息，如登录密码、银行账号等，并将其发送给攻击者。
启动远程控制服务：病毒会在受感染的机器上启动远程控制服务，使攻击者可以远程控制受感染的系统。
反监测能力：病毒会不断变化自身的形态，使用各种技术手段来逃避杀软的监测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Text 25.0% 纯文字内容的文件
Archive 25.0% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Fortinet W32/Casper.C!tr
Microsoft Trojan:DOS/Casper
Kaspersky Virus.DOS.Chameleon.Casper.1440
ESET-NOD32 Win32/KeyLogger.Casper

典型样本
类型 值
MD5 84bb3709afa963c57ecf1d5fd90808c2
MD5 7e284128303f7e3d30a389afb75d47f9
MD5 8db851fd96f2f01cd441292bce2f2549
MD5 f884204a9cb35e9629da7b76982f4bf9
MD5 8d8fc06ae5b79f4614a355c286e0410a
解决方案
更新杀毒软件：及时更新杀毒软件的病毒库，以便识别并清除最新的Trojan/DOS.Casper变种。
执行全盘扫描：对受感染的系统进行全盘扫描，找出所有的病毒文件并进行清除。
清理系统注册表：病毒可能会修改系统注册表以实现自启动或隐藏自身，清理注册表可以阻止其重新感染。
进行系统修复：对被病毒破坏的系统文件进行修复，以确保系统的正常运行。
加强系统安全设置：增强防火墙和安全策略，限制不明程序的运行和网络访问，以减少病毒的传播和攻击。
谨慎下载和访问：避免下载不明来源的文件或访问可疑的网站，以降低感染Trojan/DOS.Casper的风险。