Worm/DOS.Dreamirc[IRC]早在2009年就已经出现。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该Worm的主要行为是IRC，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前Worm/DOS.Dreamirc[IRC]存在可执行文件、文本等至少4种格式的样本，文本占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
通过IRC网络传播自身，利用IRC通信协议与其它恶意软件相互传播。
在感染的计算机上建立与控制服务器（C&C Server）的连接，以便接受指令并执行攻击任务。
利用受感染计算机的资源进行分布式拒绝服务攻击（DDoS Attack），通过大量流量淹没目标服务器，导致其不可用。
启动与目标计算机的连接，并尝试利用已知的漏洞进行远程执行和入侵。
窃取受感染计算机上的敏感信息，如密码、银行账号等，用于进一步的非法活动。
破坏或删除受感染计算机上的重要文件和系统，导致系统崩溃或无法正常运行。
样本格式分布
格式类别 占比 格式描述
BinExecute 47.06% 用于执行二进制文件的工具或实用程序
Text 48.53% 纯文字内容的文件
Archive 2.94% 将文件或数据进行压缩和存储
Script 1.47% 指包含编程代码的文件，可以被解释器执行
其他厂商命名
厂商 命名
Fortinet DreamIrc.G!worm.irc
Microsoft Worm:DOS/Dreamirc.G
Kaspersky IRC-Worm.DOS.Dreamirc.d
ESET-NOD32 Dreamirc.G
典型变种
Worm/DOS.Dreamirc.e[IRC]
Worm/DOS.Dreamirc.i[IRC]
Worm/DOS.Dreamirc.h[IRC]
Worm/DOS.Dreamirc.g[IRC]
Worm/DOS.Dreamirc.d[IRC]
典型样本
类型 值
MD5 08603d0d4d49028751ebf3f64b391e11
MD5 2a1ec26676e864ef1d3b0ac0730c53c1
MD5 bcc5c46594f721d4d42e923322c25e01
MD5 e4b1fac7def7fed90cefd27b10d5a391
MD5 e2b1564634a48c3eae9adef5af264881
解决方案
及时更新操作系统和防病毒软件，以获得最新的安全补丁和病毒库。
避免点击或打开来自不可信源的链接、附件或下载的文件。
启用防火墙并配置合适的安全策略，以控制入站和出站流量。
使用强大的密码保护系统和多因素身份验证，以防止病毒获取敏感信息。
定期备份重要文件，并将备份数据存储在离线介质上，以防止病毒破坏或加密文件。
如果遇到感染，及时隔离受感染的计算机，并使用专业的杀毒软件扫描并清除病毒。