Энциклопедия компьютерных вирусов
         

Win95.Spaces


Опасный резидентный Windows-вирус. Размножается под Win95/98 и заражает выполняемые файлы Windows - PE EXE-файлы (Portable Executable). При запуске зараженного файла вирус инсталлирует себя в ядро Windows, перехватывает обращения к файлам и заражает PE-файлы при их открытии. При заражении записывается в конец файла в его последнюю секцию, предварительно увеличив ее размер.

1 июня вирус портит MBR-сектор винчестера и завешивает компьютер. Код MBR-сектора уничтожается, а таблица разбиения диска (Disk Partition Table) портится таким образом, что оказывается зацикленной сама на себя. В результате большинство вариантов DOS не в состоянии загрузиться даже с флоппи-диска - они зацикливаются. В результате данные на пораженном диске целы, однако добраться до них штатными средствами не представляется возможным. (Пакет AVP поставляется с загрузочной дискетой ParagonDOS, которая не имеет этой ошибки - ParagonDOS грузится без проблем, MBR и данные на диске затем можно восстановить при помощи любого редактора секторов диска).

При записи в MBR вирус использует прямые вызовы портов контроллера винчестера и, таким образом, обходит встроенную в BIOS защиту от вирусов. Следует отметить, что соответствующая процедура вируса содержит ошибку, которая в некоторых случаях приводит к стандартному сообщению Windows об ошибке в приложении, что, однако, спасает MBR от разрушения.

Вирус получил название "Spaces" ("Пробелы") по причине того, что использует два символа пробел для детектирования своей копии в файлах и системной памяти. В файлах два пробела записываются вирусом в зарезервированное поле PE-заголовка (и перед заражением проверяются), а для детектирования своей резидентной копии в памяти Windows вирус использует VxD-вызов IFSMgr_Get_Version с AX=2020h, на что резидентный вирус в ответ записывает в AX значение DEADh.

Вирус также может быть продетектирован "вручную" по строке "ERL" в конце зараженных файлов. Следует также отметить, что код вируса во многом напоминает вирус "Win95.CIH", и, скорее всего, был написан по его мотивам.



Содержание раздела