Virus/DOS.TraceBack早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.TraceBack存在可执行文件、压缩文件等至少6种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
病毒会针对多种常见杀软进行免疫，包括常见杀毒软件、防火墙等，以确保自身在被杀毒软件查杀时仍能够正常运行。
病毒会自动修改自身的代码和文件名，以避免被杀毒软件的识别和删除。
病毒会隐藏自己的进程和文件，使其在系统中难以被发现和清除。
病毒会利用P2P网络等方式，在多个感染的计算机之间进行指令和数据传递，实现分布式攻击的目的。
病毒会通过伪装成合法流量的方式，模拟正常用户请求，增加攻击的隐蔽性和破坏力。
病毒会自动更新自身的版本和攻击方式，以应对杀毒软件的新的防护策略。
样本格式分布
格式类别 占比 格式描述
BinExecute 40.24% 用于执行二进制文件的工具或实用程序
Archive 31.71% 将文件或数据进行压缩和存储
Generic 20.73% 不能确定具体类型的文件
Text 4.27% 纯文字内容的文件
DBinExecute 1.83%
DOS 1.22%
其他厂商命名
厂商 命名
Fortinet Traceback.2930.B
Microsoft Virus:DOS/Traceback
Kaspersky Virus.DOS.TraceBack.2930
典型变种
Virus/DOS.TraceBack.x
Virus/DOS.TraceBack.3029
Virus/DOS.TraceBack.eny
Virus/DOS.TraceBack.3066
Virus/DOS.TraceBack.2930
典型样本
类型 值
MD5 162cd0dfa6270c9ecebc296932c6d971
MD5 108b113a5c14d21a4071ab1257c78be1
MD5 2f97c705adddd83ea716b2343358e6d1
MD5 3b92d33d485576dac936a7d6e4d9a461
MD5 3e0f2e17cefb2f6f7bbd6dfb450b6cd1
解决方案
定期更新杀毒软件和操作系统的补丁，以保持系统的安全性和免疫力。
配置网络设备，设置合理的流量过滤规则，屏蔽可疑流量和攻击请求。
部署网络入侵检测系统（IDS）和入侵预防系统（IPS），及时监测和阻断异常流量和攻击行为。
配置防火墙，限制非必要的网络访问，并设置合适的访问控制策略。
加强对员工的安全教育和意识培养，防止点击恶意链接或下载不明文件导致感染。
备份重要数据，保证数据的可靠性和可恢复性，以防止数据丢失或被勒索。