HackTool/DOS.Viplus[Constructor]的首个样本在2024年10月被安天捕获。它是一种黑客工具，一类为达成破坏计算机的可用性、完整性、保密性为目标来编写，但运行在攻击方一侧、起到辅助攻击作用的恶意代码。该黑客工具关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该HackTool的主要行为是Constructor，通过其核心行为，对目标造成数据丢失、系统崩溃、信息泄露等问题。该黑客工具变种数与样本数持平，变种并未出现大规模样本的爆发，流行度较低。目前HackTool/DOS.Viplus[Constructor]存在可执行文件至少一种格式的样本。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该黑客工具形成相同命名。
病毒行为
发起大规模的网络请求，占用目标系统带宽和资源。
通过多线程并发发送请求，提高攻击效率。
制造大量伪造的数据包，混淆网络流量，使防御变得困难。
使用特定的攻击工具和技术，绕过杀毒软件的检测。
持续不断地发起攻击，使目标系统难以恢复正常服务。
攻击者可通过变化攻击手法来规避监控和防御。
样本格式分布
格式类别 占比 格式描述
BinExecute 100.0% 用于执行二进制文件的工具或实用程序
其他厂商命名
厂商 命名
Microsoft Constructor:DOS/Viplus
Kaspersky Constructor.Multi.Viplus
ESET-NOD32 Viplus Constructor
典型样本
类型 值
MD5 54758e9813d0cfd998f551116f3ca829
解决方案
实施流量管理机制，限制来自单个IP地址的请求。
配置防火墙规则，监控异常流量并进行阻断。
使用入侵检测系统（IDS）和入侵防御系统（IPS）对恶意攻击进行检测和阻止。
定期更新安全补丁，加强系统的安全防护。
持续加强网络安全意识培训，防止员工被社会工程学攻击。
及时备份重要数据，确保在遭受DoS攻击后能够快速恢复网络服务。