Virus/DOS.Eharm早在2009年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Eharm存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少2个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发起大量的DOS攻击，导致系统资源消耗严重，使系统无法正常运行。
修改或删除关键系统文件，破坏系统稳定性和正常运行。
创建或修改注册表项，以确保病毒在系统启动时能够自动运行。
引导和下载其他恶意软件，扩大系统感染范围。
修改网络设置，封锁或篡改网络通信，进行信息窃取或中间人攻击。
通过钓鱼网站、垃圾邮件或恶意文件分享平台等方式进行传播和感染。
样本格式分布
格式类别 占比 格式描述
BinExecute 55.56% 用于执行二进制文件的工具或实用程序
Generic 33.33% 不能确定具体类型的文件
Archive 11.11% 将文件或数据进行压缩和存储
其他厂商命名
厂商 命名
Microsoft Virus:DOS/Eharm
Kaspersky Virus.DOS.Eharm.250
典型变种
Virus/DOS.Eharm.250
Virus/DOS.Eharm.jq
典型样本
类型 值
MD5 b508ad38a8ecbef4ffb5e0a78cc8eb82
MD5 faaec262acba90a4116b352ccd43f0ed
MD5 433b7433847635cc2ea89f75e7dfcb79
MD5 6d27c4966ba854997dab55ea48c0f913
MD5 c1b15ab4b15be443d1b9815d57a0edfc
解决方案
及时更新杀毒软件和系统补丁，以确保能够检测和清除最新的病毒变种。
使用强密码和多因素身份验证，提高系统的安全性。
定期备份重要数据，以防止数据丢失或被病毒加密勒索。
安装防火墙和入侵检测系统，监控和阻止未经授权的网络访问。
注意不打开或下载来自不可信来源的文件或链接，以减少感染的风险。
教育员工提高网络安全意识，防止点击垃圾邮件、钓鱼链接或不明来源的文件。