RSS-каналы
Уровень опасности: 1
Virus.Win9x.Spaces.1245
| Время детектирования | 11 янв 2002 00:00 MSK |
| Время выпуска обновления | 07 май 1999 00:00 MSK |
| Описание опубликовано | 07 мар 2000 15:28 MSK |
Технические детали
Опасный резидентный Windows-вирус. Размножается под Win95/98 и заражает выполняемые файлы Windows - PE EXE-файлы (Portable Executable). При запуске зараженного файла вирус инсталлирует себя в ядро Windows, перехватывает обращения к файлам и заражает PE-файлы при их открытии. При заражении записывается в конец файла в его последнюю секцию, предварительно увеличив ее размер.
1 июня вирус портит MBR-сектор винчестера и завешивает компьютер. Код MBR-сектора уничтожается, а таблица разбиения диска (Disk Partition Table) портится таким образом, что оказывается зацикленной сама на себя. В результате большинство вариантов DOS не в состоянии загрузиться даже с флоппи-диска - они зацикливаются. В результате данные на пораженном диске целы, однако добраться до них штатными средствами не представляется возможным. Оптимальным решением проблемы является использование загрузочных дискет с чистой операционной системой. Например, Rescue Kit, входящий в поставку Антивируса Касперского Personal или Антивируса Касперского Personal Pro.
При записи в MBR вирус использует прямые вызовы портов контроллера винчестера и, таким образом, обходит встроенную в BIOS защиту от вирусов. Следует отметить, что соответствующая процедура вируса содержит ошибку, которая в некоторых случаях приводит к стандартному сообщению Windows об ошибке в приложении, что, однако, спасает MBR от разрушения.
Вирус получил название "Spaces" ("Пробелы") по причине того, что использует два символа пробел для детектирования своей копии в файлах и системной памяти. В файлах два пробела записываются вирусом в зарезервированное поле PE-заголовка (и перед заражением проверяются), а для детектирования своей резидентной копии в памяти Windows вирус использует VxD-вызов IFSMgr_Get_Version с AX=2020h, на что резидентный вирус в ответ записывает в AX значение DEADh.
Вирус также может быть продетектирован "вручную" по строке "ERL" в конце зараженных файлов. Следует также отметить, что код вируса во многом напоминает вирус "Win95.CIH", и, скорее всего, был написан по его мотивам.
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Virus.
- Win9x.
Spaces. 1245 («Лаборатория Касперского») - Win95.
Spaces. 1245 («Лаборатория Касперского») - Virus:
W95/Spaces. gen (McAfee) - W95/Spaces (Sophos)
- W95.
Spaces. 1245 (ClamAV) - W95/Spaces.
1245 (Panda) - W32/Busm.
1245 (FPROT) - Virus:
Win95/Spaces. 1245 (MS(OneCare)) - Win95.
Space. 1245 (DrWeb) - Win95.
Spaces. 1245 (BitDef7) - Win95.
Spaces. 1245 (VirusBuster) - Win95:
Spaces-1245 (AVAST) - Virus.
Win9x. Spaces. 1245 (Ikarus) - W95/Spaces.
1245 (AVG) - W95/Spaces.
1245 (AVIRA) - W95.
Spaces. 1245 (NAV) - W95/Spaces.
gen (NAI) - PE_SPACES.
1245 (PCCIL) - Win32.
Spaces (Rising)
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей