Virus/DOS.Mrweb早在2008年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该感染式病毒变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Virus/DOS.Mrweb存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
病毒会通过网络爆炸攻击来同时向多个目标地址发送大量的数据包，导致目标服务器的带宽和CPU资源耗尽。
病毒利用Ping洪水攻击向目标主机发送大量伪造的Ping请求，耗尽目标主机的网络资源。
病毒通过SYN洪水攻击向目标服务器发送大量伪造的TCP连接请求，占用目标服务器的系统资源。
病毒可能修改目标系统的注册表以隐藏自身，以避免被杀毒软件检测。
病毒具有自我复制能力，可以在感染一台主机后尝试传播到其他相连的主机上。
病毒可能通过操纵操作系统内核来绕过安全性检查，阻止安全软件的正常运行。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet BAT/MrWeb.B!tr
Microsoft Virus:DOS/Mrweb
Kaspersky Virus.DOS.HLLP.Mrweb.8064
ESET-NOD32 BAT/MrWeb.B
典型变种
Virus/DOS.Mrweb.jyu
Virus/DOS.Mrweb.8064
Virus/DOS.Mrweb.6728
Virus/DOS.Mrweb.lye
Virus/DOS.Mrweb.4173
典型样本
类型 值
MD5 cc235893f4bb12ec72d638bdefab7f61
MD5 6e4076ad5b0d737aa5092ceab5444752
MD5 40b36a468206e4e4ebc1ebcd7db74fbd
MD5 e483291ba2b2c84f8e5e36b5dc134163
解决方案
及时升级和安装最新的防火墙软件和杀毒软件，以确保及时检测和阻止病毒攻击。
配置网络设备，限制异常流量的访问，以减少DoS攻击对系统的影响。
配置防火墙规则，限制源IP地址和目标端口的连接请求，以减少SYN洪水攻击的影响。
定期备份重要数据，并离线存储，以防止数据丢失。
定期检查系统日志，发现异常活动并及时应对。
加强员工的安全意识教育，提高他们对病毒攻击的警惕性。