Virus/DOS.Alabama早在2006年就已经出现。它属于典型感染式病毒，是一类以感染宿主的方式完成自我传播的恶意代码。该感染式病毒关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。该感染式病毒变种数量有1种，但却经历了大量的免杀加工，以至样本Hash数量近112。目前Virus/DOS.Alabama存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少4个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该感染式病毒形成相同命名。
病毒行为
持续向目标计算机发送大量的数据包，占用网络带宽和系统资源。
利用多种方式对系统进行攻击，包括UDP Flood、TCP SYN Flood、Ping Flood等。
绕过杀毒软件的检测，采用代码混淆、加壳等技术手段，增加自身的隐藏性。
攻击目标通常是网络服务器或者重要的网络服务，旨在造成系统瘫痪或者服务不可用。
通过感染其他计算机进行传播，利用网络漏洞或者用户的不注意来传播自身。
可能会利用已知的操作系统或应用程序漏洞进行攻击，以获取更高的权限或者访问敏感信息。
样本格式分布
格式类别 占比 格式描述
BinExecute 47.0% 用于执行二进制文件的工具或实用程序
Archive 47.0% 将文件或数据进行压缩和存储
Document 3.0% 指包含文本、图像或其他数据的文件
Generic 3.0% 不能确定具体类型的文件
其他厂商命名
厂商 命名
Fortinet Alabama.1560.A
Microsoft Virus:DOS/Alabama
Kaspersky Virus.DOS.Alabama
ESET-NOD32 Alabama.1560.A
典型变种
Virus/DOS.Alabama.b
典型样本
类型 值
MD5 30eb62d799c72bce496fb01a36f8af41
MD5 6aadc4c17208e0ae0ee719afeb779a41
MD5 776df13d378f725d243156edf8a52371
MD5 d32689910fc6eff35bfe307c8aa56311
MD5 e2b7b8382cc2252750e806034c2a6ec1
解决方案
更新杀毒软件的病毒库，确保杀毒软件可以及时识别和清除该病毒。
加强系统的安全设置，限制对外部的非必要开放服务，关闭不必要的网络端口。
安装防火墙软件，及时检测和拦截病毒发起的攻击。
定期进行系统和应用程序的安全补丁更新，修复已知的漏洞。
提高员工的安全意识，避免点击来历不明的邮件、链接或下载可疑的文件。
在网络设备上配置入侵检测系统，及时发现和响应异常的网络流量。