Virus/DOS.Gorgan早在2008年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Gorgan存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
通过加密自身代码来避免被杀软检测到。
使用多种伪装技术，如修改文件属性、改变文件扩展名等，以欺骗杀软。
注入恶意代码到合法进程中，以此来绕过杀软的监控。
隐藏自身的网络活动，使用随机端口和域名，使杀软难以追踪和阻止。
利用系统漏洞和弱密码来获取系统权限，以绕过杀软的阻止和删除。
禁用或破坏杀软的防护模块，使其失效。
样本格式分布
格式类别 占比 格式描述
BinExecute 75.0% 用于执行二进制文件的工具或实用程序
Generic 25.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Gorgan.2577
Microsoft Virus:DOS/Gorgan
Kaspersky Virus.DOS.Gorgan.2718
ESET-NOD32 Gorgan.2718
典型变种
Virus/DOS.Gorgan.eao
Virus/DOS.Gorgan.2718
典型样本
类型 值
MD5 014accdc5a2a573fab00a5ed1377a0d1
MD5 3938e5b5f8af46b3467b9b493a04977d
MD5 b0113704fca4d8b8ed3c0bfbe482a7b9
MD5 fcc7503aa7c8b65a5e0533214e6f25bc
MD5 1fc37784084e55f8f301a2b8a597ce1e
解决方案
及时更新杀软的病毒库，以便能够识别和清除最新的病毒变种。
安装防火墙，限制网络流量，减少受到DoS攻击的概率。
使用强密码来保护系统，避免被病毒利用弱密码入侵。
定期备份系统重要数据，以防止数据丢失。
其他安全措施如教育用户提高安全意识、限制系统权限、定期进行系统维护和更新等。
如果系统已经感染了Virus/DOS.Gorgan病毒，应立即使用可靠的杀毒软件扫描并清除病毒。