Trojan/DOS.Coldir早在2008年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.Coldir存在可执行文件至少两种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
Trojan/DOS.Coldir会以隐蔽的方式感染系统，包括动态链接库（DLL）注入和进程劫持等手段。
它会启动恶意进程并监视用户的行为，窃取敏感信息，如银行账户信息、密码等。
该病毒可以通过远程命令控制服务器（RAT），允许黑客远程操控受感染的计算机。
它会修改系统文件、注册表以及主流杀软的配置，阻止杀软的更新和扫描，从而保持自身的存在。
Trojan/DOS.Coldir可能会利用系统资源进行大规模的分布式拒绝服务攻击（DDoS），导致网络瘫痪。
它可能会攻击局域网内的其他设备，传播至其他计算机和网络。
样本格式分布
格式类别 占比 格式描述
BinExecute 66.67% 用于执行二进制文件的工具或实用程序
Generic 33.33% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet W16/Coldir!tr
Microsoft Trojan:Win32/Coldir
Kaspersky Trojan.DOS.Coldir

典型样本
类型 值
MD5 031598677a361d87a40f9980d0e1a061
MD5 27b7704372b1755e98f0075690db578a
MD5 ae59e03f8f9ea4244a3f4b9942cefe5c
MD5 457a6d2f6b898d9adfe8d1c44f979088
解决方案
及时更新操作系统和软件补丁，修复潜在的系统漏洞。
安装可信的杀毒软件，并定期更新病毒库。
谨慎打开电子邮件附件和下载的文件，避免访问不安全的网站。
不随意点击来自不明来源的链接或弹窗。
备份重要文件，并定期将其存储在离线设备或云端。
启用防火墙和入侵检测系统（IDS）等网络安全工具，监控网络流量和异常行为。
如果发现系统异常或怀疑感染了病毒，立即隔离受感染的计算机并进行彻底的杀毒和系统恢复操作。