Энциклопедия компьютерных вирусов
         

Alar, семейство


Очень опасные резидентные файлово-загрузочные полиморфик-стелс-вирусы. Заражают MBR винчестера, записываются в конец COM- и EXE-файлов при их запуске и закрытии. При открытии зараженных файлов лечат их. MBR заражают при первом запуске зараженного файла. При заражении MBR портят информацию на дисках, если они размечены менее чем 18 секторов на трек. Остаются резидентно как при загрузке с MBR, так и при запуске зараженных файлов. Перехватывают INT 21h для заражения и стелс; INT 13h для стелс и перехвата INT 21h при загрузке с зараженного MBR; INT 17h - меняют какие-то символы при их печати; INT 1Ch - периодически "трясут" экран и проверяют CRC кода своего перехватчика INT 21h. При заражении MBR временно перехватывают INT 10h, 16h (видео и клавиатура), видимо, пытаются "одурачить" встроенную в BIOS защиту от записи. Вирусы перехватывают ввод с командной строки и при вводе текста "stop creeping" блокируют свои процедуры заражения и стелс, при вводе "do it right now" стирают CMOS, при вводе "tell me your version" выводят на экран текст:

"Alar.4270":

Alar Abaddon virus. Version 1.2 (peaceful) Created by G..... A..... (C) 05/29/97

"Alar.4625":

Alar Abaddon virus. Version 2.0 (peaceful) Created by G..... A..... (C) 07/06/97

"Alar.4873"

Alar Abaddon virus. Version 2.1 (harmful) Created by G..... A..... (C) 07/18/97

"Alar.6047":

Alar Abaddon virus. Version 2.4 (harmful) Created by G..... A..... (C) 08/03/97

Проверяют CRC кода своего обработчика INT 21h и, если CRC не совпадает (код вируса модифицирован, например, при лечении), выводят текст и завешивает компьютер:

Не занимайтесь самолечением, друг мой !

При запуске под старыми версиями DOS выводят текст:

Invalid parameter missing

"Alar.6047" также содержит текст:

+-----------------------------------------------------------------------+ | Глубокоуважаемый господин Данилов ! Имею честь сообщить, что в ваше | | описание вирусов от 25.07.97 вкралась ошибка :(. Вирусы Alar.4270 и | | Alar.4625 вы по недоразумению отнесли к серии вирусов MF.xxxx, разра- | | боткой которой я не занимался. Пришлось выпустить новую версию с | | данным сообщением. Нижайшая просьба исправить вашу доку. | | С уважением, Г..... А..... | +-----------------------------------------------------------------------+



Содержание раздела