Worm/DOS.Gift早在2008年就已经出现。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该蠕虫变种数量有1种，但却经历了大量的免杀加工，以至样本Hash数量近971。目前Worm/DOS.Gift存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
Worm/DOS.Gift具有持续在感染的计算机上进行扫描和复制的能力，以便传播到其他系统。
它会利用系统漏洞和弱密码进行入侵，从而感染更多的计算机。
该病毒可以占用大量计算机资源，导致系统运行缓慢甚至崩溃。
它还可通过下载和安装恶意软件或者木马程序，继续扩大其传播范围。
Worm/DOS.Gift可以利用感染的计算机作为跳板，发起DDoS攻击，对目标系统造成拒绝服务。
此外，该病毒可能会修改系统设置、监控用户活动或窃取敏感信息等。
样本格式分布
格式类别 占比 格式描述
BinExecute 75.66% 用于执行二进制文件的工具或实用程序
Archive 23.17% 将文件或数据进行压缩和存储
Script 1.17% 指包含编程代码的文件，可以被解释器执行
其他厂商命名
厂商 命名
Fortinet Riskware/Gift
Microsoft Worm:DOS/Gift!rfn
Kaspersky Backdoor.Win32.Gift.b
ESET-NOD32 Win32/Gift.B.Client
典型变种
Worm/DOS.Gift.b
典型样本
类型 值
MD5 036b52c186779ecb107cd39e5350c581
MD5 1551a72257c2121d3f1b0d9ac57f6b01
MD5 1fe3d33ab1f7dc5fc7ff4e02a81892e1
MD5 24491cca05724837da7823c77a701fb1
MD5 2606cbdf86dccf8b2b804a73c6c391c1
解决方案
及时更新操作系统和防病毒软件，以获取最新的病毒防护能力。
使用强密码，并定期更改密码，以防止病毒利用弱密码入侵系统。
检查并修补系统漏洞，以减少病毒利用的机会。
避免点击不明链接和打开来历不明的电子邮件附件，以防止下载和安装恶意软件。
定期备份重要数据，并确保备份数据与系统隔离，以便在受到病毒攻击时恢复数据。
如果系统已感染该病毒，及时隔离感染的计算机，并使用强大的杀毒工具进行全面扫描和清除操作。