Virus/DOS.Rubbit早在2008年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Rubbit存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
发送大量伪造的数据包来造成网络拥堵，导致系统容易崩溃。
通过修改系统文件和注册表来屏蔽杀软的检测，以保护自己的存在。
利用系统漏洞获取管理员权限并执行恶意代码，进一步破坏系统。
通过在系统中创建多个恶意进程并隐藏自身，使杀软难以识别和清除。
篡改关键系统文件，导致系统启动不正常或无法运行关键应用程序。
攻击网络中其他计算机，以迅速传播病毒。这些行为使得Virus/DOS.Rubbit成为一种高度具有破坏性和隐匿性的病毒。
样本格式分布
格式类别 占比 格式描述
BinExecute 35.9% 用于执行二进制文件的工具或实用程序
Archive 25.64% 将文件或数据进行压缩和存储
Generic 20.51% 不能确定具体类型的文件
Text 11.54% 纯文字内容的文件
DBinExecute 6.41%
其他厂商命名
厂商 命名
Fortinet Rubbit.3811
Microsoft Virus:DOS/Rubbit
Kaspersky Virus.DOS.Rubbit.3811
ESET-NOD32 Rubbit.3811
典型变种
Virus/DOS.Rubbit.734
Virus/DOS.Rubbit.bne
Virus/DOS.Rubbit.ewj
Virus/DOS.Rubbit.fqp
Virus/DOS.Rubbit.baf
典型样本
类型 值
MD5 3164606a1e2766af5ba80763b2313f81
MD5 c8533f3a76106cae681ff8e5992e51e1
MD5 e443dc79908f4d98a26e10bbefcc2561
MD5 2c8defb124b9e175c8b58d795a5cbb42
MD5 438ceef195c7674c04e8e7981692ea42
解决方案
及时升级杀软程序和系统补丁，以强化系统的安全性。
扫描和清除受感染的文件和进程，确保系统的彻底清理。
设置防火墙规则，限制异常的网络连接和数据流量。
避免下载和打开来自不可信来源的文件和链接，以减少感染的风险。
定期备份重要的文件和数据，确保在系统遭受破坏时能够快速恢复。
利用安全硬件设备，如防火墙和入侵检测系统，提供额外的网络保护层级。通过以上措施，可以有效识别和清除Virus/DOS.Rubbit病毒，并保护计算机系统的安全性和稳定性。