Virus/DOS.ROM早在2008年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.ROM存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
Virus/DOS.ROM通常会伪装成普通文件或程序，诱使用户下载并执行
它会破坏系统启动区、文件等关键部分，导致系统启动异常
攻击者可远程操控受感染计算机，进行违法操作
可进行数据窃取，窃取用户隐私信息
恶意扩散，感染更多的系统和文件
对抗杀软，通过变异等方式躲避检测。
样本格式分布
格式类别 占比 格式描述
BinExecute 57.14% 用于执行二进制文件的工具或实用程序
Archive 28.57% 将文件或数据进行压缩和存储
Generic 7.14% 不能确定具体类型的文件
Text 7.14% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet Riskware/ROM
Microsoft Trojan:Win64/IcedID.ROM!MTB
Kaspersky not-a-virus:RemoteAdmin.Win32.ROM.au
ESET-NOD32 a variant of MSIL/Injector.ROM
典型变种
Virus/DOS.ROM.331
Virus/DOS.ROM.mt
Virus/DOS.ROM.397
Virus/DOS.ROM.ph
典型样本
类型 值
MD5 8487d0aa0b8f302e3e09589ab30ab9c1
MD5 24b8c347d1329c4c59dbe7a606ae0966
MD5 4e5ef13964d577b815e9c35130cb6dd2
MD5 ccf6988cb21d03e8613260aaa61ad813
MD5 ede44f245f4a1fe48bdc95c5534beec9
解决方案
及时更新杀毒软件，确保病毒库处于最新状态
定期对系统进行全盘扫描，清除潜在威胁
注意网络安全，不轻易下载、运行不明文件
加强系统安全设置，限制外部访问权限
备份重要数据文件，避免数据丢失
如遇感染，立即隔离、清除病毒，修复受损区域。