HackTool/DOS.DarkSlick[Constructor]早在2008年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.DarkSlick[Constructor]存在可执行文件、压缩文件等至少3种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
发动DDoS攻击：使用构建的黑客工具发动分布式拒绝服务攻击，通过向目标服务器发送大量的无效请求或恶意流量，占用目标服务器的带宽和资源，使其无法正常提供服务。
操纵网络协议：通过篡改网络协议的数据包，以达到阻断通信、欺骗目标设备或绕过防火墙等目的，从而对抗网络安全设备的检测和防御。
向目标设备发送恶意代码：通过利用操作系统的漏洞或弱密码，将恶意代码注入到目标设备中，从而实现对目标设备的控制和操纵，进一步对抗杀软的检测和清除。
窃取敏感信息：通过获取目标设备上存储的敏感信息，如用户账号、密码、银行账户信息等，用于非法牟利或进一步的攻击。
传播和感染其他设备：通过利用网络漏洞或携带性存储设备传播自身，并感染其他安全性较弱的设备，形成恶意网络。
修改系统配置：对操作系统的注册表、配置文件或系统文件进行修改，以降低系统安全性，并使病毒在系统中长期存在和持续运行。
样本格式分布
格式类别 占比 格式描述
BinExecute 50.0% 用于执行二进制文件的工具或实用程序
Archive 25.0% 将文件或数据进行压缩和存储
Text 25.0% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet W32/DarkSlick.A!tr
Kaspersky Constructor.DOS.DarkSlick
ESET-NOD32 DarkSlick Constructor
典型样本
类型 值
MD5 5fbbd911559f20c6a7e9954dc226470d
MD5 784e67dd56d11bd787a3aba64534e367
MD5 1b31d7bca1436fa2fcd47bb22c64e228
解决方案
及时安装系统和应用程序的安全更新，以修复可能存在的漏洞。
定期更新杀毒软件和防火墙等安全软件的定义文件，以提高对该病毒的检测和清除能力。
注意不要下载和运行来历不明的文件，特别是来自不可信源的黑客工具或攻击工具。
设置强密码，并定期更换密码，以防止病毒通过暴力破解密码的方式入侵。
使用可靠的防火墙设置，限制对网络和系统资源的访问。
定期进行系统备份，以便在遭受攻击或感染后能够迅速恢复系统。