Worm/DOS.Info早在2008年就已经出现。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Worm/DOS.Info存在文本、可执行文件等至少6种格式的样本，文本占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
Worm/DOS.Info会通过网络蠕虫方式传播，利用系统漏洞和弱密码入侵目标主机。
它会以恶意程序的形式隐藏在合法文件中，以绕过杀毒软件的检测。
一旦感染目标主机，它会利用大量系统资源进行大规模的拒绝服务（DOS）攻击，导致目标主机无法正常工作。
Worm/DOS.Info还会利用已感染主机作为“僵尸网络”，发动分布式拒绝服务（DDOS）攻击，对其他网络主机进行攻击。
它会窃取用户的敏感信息，包括账号密码、银行卡信息等，进行各种非法活动。
该病毒可能会修改系统注册表、篡改系统文件，以保证自身的持久性和隐藏性。
样本格式分布
格式类别 占比 格式描述
Generic 29.41% 不能确定具体类型的文件
Text 35.29% 纯文字内容的文件
BinExecute 17.65% 用于执行二进制文件的工具或实用程序
Archive 5.88% 将文件或数据进行压缩和存储
DBinExecute 5.88%
SoftData 5.88% 如计算机文件、数据库和云存储数据
其他厂商命名
厂商 命名
Fortinet W32/Disfa.INFO!tr
Microsoft PWS:Win32/Info.A
Kaspersky Worm.DOS.Info.2142.b
ESET-NOD32 Info.2259.B
典型变种
Worm/DOS.Info.c
Worm/DOS.Info.a
Worm/DOS.Info.b
Worm/DOS.Info.2142
Worm/DOS.Info.dek
典型样本
类型 值
MD5 616c26a417d5bd36020c6da138c96fa1
MD5 9a0bfce9747842c85a9486bc8bf35341
MD5 d23089d19b317613bb9a7a020daace71
MD5 0b0cdc1fccf475bb5287f53a901121d6
MD5 377806315435cbf94f5d343ece17bc82
解决方案
及时更新操作系统和安装安全补丁，以修复系统漏洞，减少被感染的风险。
使用强密码，避免使用默认密码，以增加病毒入侵的难度。
定期备份重要文件和数据，以防止数据丢失和损坏。
安装可靠的杀毒软件和防火墙，并及时更新病毒库，保持实时防护。
避免点击来路不明的链接和下载未知的文件，尽量避免访问不安全的网站。
如果发现系统异常、网络延迟等异常情况，应及时检查系统安全性，并进行维修和恢复。