HackTool/DOS.VRT[Constructor]早在2008年就已经出现。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。目前HackTool/DOS.VRT[Constructor]存在压缩文件、可执行文件至少两种格式的样本，压缩文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
使用加密和压缩技术来隐藏自身的行为，以逃避杀软的检测。
修改注册表项或系统文件，以确保病毒可以自动启动并在系统重启后仍然存在。
拦截和篡改杀软的扫描和清除操作，将杀软误导到错误的文件或目录。
监视杀软的行为，一旦检测到杀软的进程运行，病毒会自动关闭或伪装自己，以避免被发现。
病毒会针对杀软的特征库进行更新，以不断适应杀软的变化，使其难以识别。
跨越系统边界，通过网络共享或可移动设备传播，以便感染更多的系统并增加传播的隐蔽性。
样本格式分布
格式类别 占比 格式描述
Archive 57.14% 将文件或数据进行压缩和存储
BinExecute 42.86% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/KRAP.VRT!tr
Kaspersky Hoax.Win32.FakeHack.vrt
ESET-NOD32 JS/TrojanDownloader.Agent.VRT

典型样本
类型 值
MD5 550821f339a48f04a44472e85fbb8dad
MD5 5520e6f06ca5dcf368c6fb774aa888dd
MD5 21483267ae0ec7b0bcd935b86fe466cf
MD5 35f11bbe6b8d8312274fe6d33aa663f0
MD5 c3ef39fbcdb6b7d55708f6548f3cc590
解决方案
及时更新杀毒软件和防火墙，以确保其可以识别和阻止最新的病毒。
定期进行系统和应用程序的安全补丁更新，以修复漏洞，减少被攻击的风险。
使用强密码和双因素身份验证，以增加登录系统的安全性。
避免下载和安装来自不可信或未知来源的软件，以减少感染病毒的风险。
建立规范的网络安全策略并进行员工培训，以提高对病毒和网络攻击的识别和应对能力。
备份重要数据，并将备份数据存储在离线和安全的位置，以防止数据丢失或遭受勒索软件攻击