Virus.Win9x.Spaces.1245

Главная / Описания / Virus.Win9x.Spaces.1245

Печать

Закладки

Время детектирования	11 янв 2002 00:00 MSK
Время выпуска обновления	07 май 1999 00:00 MSK
Описание опубликовано	07 мар 2000 15:28 MSK

Технические детали

Опасный резидентный Windows-вирус. Размножается под Win95/98 и заражает выполняемые файлы Windows - PE EXE-файлы (Portable Executable). При запуске зараженного файла вирус инсталлирует себя в ядро Windows, перехватывает обращения к файлам и заражает PE-файлы при их открытии. При заражении записывается в конец файла в его последнюю секцию, предварительно увеличив ее размер.

1 июня вирус портит MBR-сектор винчестера и завешивает компьютер. Код MBR-сектора уничтожается, а таблица разбиения диска (Disk Partition Table) портится таким образом, что оказывается зацикленной сама на себя. В результате большинство вариантов DOS не в состоянии загрузиться даже с флоппи-диска - они зацикливаются. В результате данные на пораженном диске целы, однако добраться до них штатными средствами не представляется возможным. Оптимальным решением проблемы является использование загрузочных дискет с чистой операционной системой. Например, Rescue Kit, входящий в поставку Антивируса Касперского Personal или Антивируса Касперского Personal Pro.

При записи в MBR вирус использует прямые вызовы портов контроллера винчестера и, таким образом, обходит встроенную в BIOS защиту от вирусов. Следует отметить, что соответствующая процедура вируса содержит ошибку, которая в некоторых случаях приводит к стандартному сообщению Windows об ошибке в приложении, что, однако, спасает MBR от разрушения.

Вирус получил название "Spaces" ("Пробелы") по причине того, что использует два символа пробел для детектирования своей копии в файлах и системной памяти. В файлах два пробела записываются вирусом в зарезервированное поле PE-заголовка (и перед заражением проверяются), а для детектирования своей резидентной копии в памяти Windows вирус использует VxD-вызов IFSMgr_Get_Version с AX=2020h, на что резидентный вирус в ответ записывает в AX значение DEADh.

Вирус также может быть продетектирован "вручную" по строке "ERL" в конце зараженных файлов. Следует также отметить, что код вируса во многом напоминает вирус "Win95.CIH", и, скорее всего, был написан по его мотивам.

Вредоносные программы

Вирусы и черви

Virus

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Другие названия

Virus.Win9x.Spaces.1245 («Лаборатория Касперского») также известен как:

Win9x.Spaces.1245 («Лаборатория Касперского»)
Win95.Spaces.1245 («Лаборатория Касперского»),
Virus: W95/Spaces.gen (McAfee)
W95/Spaces (Sophos)
W95.Spaces.1245 (ClamAV)
W95/Spaces.1245 (Panda)
W32/Busm.1245 (FPROT)
Virus:Win95/Spaces.1245 (MS(OneCare))
Win95.Space.1245 (DrWeb)
Win95.Spaces.1245 (BitDef7)
Win95.Spaces.1245 (VirusBuster)
Win95:Spaces-1245 (AVAST)
Virus.Win9x.Spaces.1245 (Ikarus)
W95/Spaces.1245 (AVG)
W95/Spaces.1245 (AVIRA)
W95.Spaces.1245 (NAV)
W95/Spaces.gen (NAI)
PE_SPACES.1245 (PCCIL)
Win32.Spaces (Rising)