Virus/DOS.MtE-based早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该感染式病毒变种数量有2种，但却经历了大量的免杀加工，以至样本Hash数量近1317。目前Virus/DOS.MtE-based存在可执行文件、文本等至少5种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，由于该感染式病毒的变种变化较大，安全厂商依托不同的检测方式进行检测覆盖，其中Fortinet，ESET-NOD32等安全厂商等安全厂商给出了不同的命名。
病毒行为
病毒利用漏洞或弱密码对目标系统进行暴力破解，获取系统权限。
病毒通过监听网络流量，发现可利用的目标，并发起DOS攻击。
病毒能够自我复制并传播到其他计算机，以扩大感染范围。
病毒通过隐藏痕迹、加密通信等方式，防止被杀软检测和清除。
病毒可通过修改系统配置文件、篡改注册表等手段，破坏系统稳定性。
病毒能够启动恶意进程，占用系统资源，导致系统运行缓慢甚至崩溃。
样本格式分布
格式类别 占比 格式描述
BinExecute 43.21% 用于执行二进制文件的工具或实用程序
Text 39.12% 纯文字内容的文件
Generic 9.28% 不能确定具体类型的文件
Archive 8.09% 将文件或数据进行压缩和存储
DBinExecute 0.3%
其他厂商命名
厂商 命名
Fortinet W32/Mirc-based!tr.bdr
Microsoft Virus:DOS/Mother!MtE
Kaspersky Virus.DOS.MtE-based
ESET-NOD32 MtE.Shocker
典型变种
Virus/DOS.MtE-based.d
Virus/DOS.MtE-based.k
典型样本
类型 值
MD5 034b87a481e81d536fe7c3eba7f82e51
MD5 0a1d3e21932200fa5fe83e32dca002f1
MD5 04fa3a0a1082556b4742a18133f07991
MD5 0f55d6d327272428e8b3be37bc6eba01
MD5 0f26be2671be1ec48322f807831bdda1
解决方案
及时更新操作系统和安全补丁，以修复系统漏洞，降低被攻击的风险。
安装可靠的杀毒软件，并定期更新病毒库，及时发现和清除病毒。
配置防火墙和入侵检测系统，监控网络流量，及时发现并阻止DOS攻击。
加强对密码的管理，使用强密码并定期更换，避免被病毒利用暴力破解。
定期备份重要数据，并存储在安全的地方，以防止数据丢失造成损失。
对于已受感染的计算机，应立即隔离，使用专业工具进行病毒扫描和清除，修复受损的系统文件。