Virus/DOS.Zu早在2008年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Virus/DOS.Zu存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
启动时自动加载到内存中，并修改系统内核以保证自身在后台持续运行。
拦截杀软进程，并对其进行欺骗，使其无法检测到病毒的存在。
对系统文件进行篡改，以阻止杀软对潜在感染文件的扫描和清除。
利用DOS系统漏洞进行进一步传播，以感染更多的系统。
破坏系统文件和记录，导致系统运行不稳定甚至崩溃。
引发多次系统重启或死机，给用户使用计算机带来严重困扰。
样本格式分布
格式类别 占比 格式描述
BinExecute 49.06% 用于执行二进制文件的工具或实用程序
Generic 18.87% 不能确定具体类型的文件
Archive 24.53% 将文件或数据进行压缩和存储
Text 7.55% 纯文字内容的文件
其他厂商命名
厂商 命名
Fortinet GenericRXBI.ZU!tr
Microsoft Worm:Win32/Vobfus.ZU
Kaspersky Backdoor.Win32.Finfish.zu
ESET-NOD32 a variant of MSIL/Spy.Keylogger.ZU
典型变种
Virus/DOS.Zu.a
Virus/DOS.Zu.473
Virus/DOS.Zu.b
典型样本
类型 值
MD5 166d5e71dcaa07d918a71c8544d483b1
MD5 41f680b01df0085c631e7888a704dd01
MD5 5dc4a6dfab7f14eda82e48be941dbb41
MD5 a2bef29887e4a59b7dffb4af3314fc91
MD5 b380d114a8ffc9fc2cebae16fa08b101
解决方案
更新杀软的病毒数据库，保持杀软的识别能力与病毒的升级速度同步。
手动清除病毒文件和其对系统文件的篡改，确保系统的干净和稳定。
更新操作系统和软件，修补已知的系统漏洞，以减少病毒传播的机会。
定期备份重要数据，以防止数据丢失或受到病毒攻击。
加强网络安全防护，限制未知来源的文件和链接的访问，减少病毒传播的渠道。
对受感染的系统进行全面彻底的清理和恢复，以确保病毒的完全清除。