HackTool/DOS.BW[Constructor]早在2008年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.BW[Constructor]存在可执行文件、压缩文件等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
使用构造工具创建、定制和传播恶意软件。
针对DOS操作系统进行攻击，例如进行DOS拒绝服务攻击。
获取系统管理员权限，以便执行恶意操作。
窃取敏感信息，如个人身份信息、银行账户信息等。
绕过杀软软件的检测和清除，保持自身的存在和传播。
可能会利用系统漏洞进行横向渗透，感染其他主机。
样本格式分布
格式类别 占比 格式描述
BinExecute 67.92% 用于执行二进制文件的工具或实用程序
Archive 27.5% 将文件或数据进行压缩和存储
Text 2.5% 纯文字内容的文件
Generic 1.25% 不能确定具体类型的文件
Script 0.83% 指包含编程代码的文件，可以被解释器执行
其他厂商命名
厂商 命名
Fortinet W32/Agent_AGen.BW!worm
Microsoft TrojanDownloader:Win32/Upatre.BW
Kaspersky HEUR:Trojan.AndroidOS.Agent.bw
ESET-NOD32 JS/Faceliker.BW
典型变种
HackTool/DOS.BW.090[Constructor]
HackTool/DOS.BW.100[Constructor]
典型样本
类型 值
MD5 497760ca44a3f707d111bf45e0bfe5a1
MD5 4d8dbc7153e4e723068dceec22907201
MD5 61fc5d11f01d288927881f41d4477f01
MD5 6d3c63b2242ea549583d41c717adb1e1
MD5 776aa66779b5311c3a0f93779a993861
解决方案
安装并定期更新杀软软件，以确保及时检测和清除恶意软件。
及时更新操作系统和软件补丁，以修复系统漏洞。
不轻易下载和安装未知来源的软件和文件，尤其是来路不明的构造工具。
加强网络安全防护措施，包括防火墙、入侵检测系统等。
定期备份重要数据，并使用加密等措施保护敏感信息。
教育员工提高安全意识，警惕钓鱼邮件、恶意链接等社交工程攻击手段。