Worm/DOS.VB的首个样本在2025年01月被安天捕获。它属于典型的蠕虫，不借助宿主即可独立完成自主传播的恶意代码。其自我复制的方式包括基于存储介质和网络方式。该蠕虫关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该家族是对Visual Basic编写的蠕虫的统称，其并不一定由同一组织编写，之前也不一定有同源关系。由于VirualBasic是一种解释型语言，其编写难度较低，导致样本数量十分丰富。但分析其二进制样本的同源性需要更多的分析人员和更高的算力需求，因此安天按照业界约定俗成的惯例，采用编译器命名来统一作为此类样本的家族名称。该蠕虫变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前Worm/DOS.VB存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该蠕虫形成相同命名。
病毒行为
利用系统漏洞进行入侵，并尝试关闭系统的安全防护机制
恶意篡改系统文件，破坏系统的正常运行
阻断系统的重要服务和进程，使系统陷入混乱状态
干扰用户的正常操作，导致系统响应缓慢
对抗杀软，通过伪装、加密等方式避免被杀毒软件检测和清除。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Fortinet W32/VB.VB!tr.bdr
Microsoft TrojanDownloader:Win32/VB.VB
Kaspersky Trojan.Win32.VB.vb
ESET-NOD32 a variant of Win32/TrojanDownloader.VB.VB
典型变种
Worm/DOS.VB.du
典型样本
类型 值
MD5 3457fffc7ef2188251367aacffd7cec1
MD5 b60d3f0d5fcc6ac424a270fe279ab7f1
MD5 2c83ec2b3a98d1172baab5840c0ddc82
MD5 75ab6c884aef065c1cb65c8821836af2
MD5 4f55a0f50824c368561f703fba505dad
解决方案
及时更新操作系统和安全补丁，修补系统漏洞
安装强大的杀毒软件和防火墙，定期进行全盘扫描
避免点击未知链接和下载可疑附件，提高网络安全意识
启用系统的安全设置，限制不必要的网络访问权限
备份重要数据，并定期更新备份
如遭受感染，立即断开网络连接，使用可信赖的杀毒软件进行全面检测和清除。