Мля!
23-11-2004 16:45
к комментариям - к полной версии
- понравилось!
Вот от этого добра я сегодня чистил комп около шести с половиной часов. Заебался до ужаса, хотя сейчас вроде бы все в порядке.
--------
Win95.Spaces
Опасный резидентный Windows-вирус. Размножается под Win95/98 и заражает выполняемые файлы Windows - PE EXE-файлы (Portable Executable). При запуске зараженного файла вирус инсталлирует себя в ядро Windows, перехватывает обращения к файлам и заражает PE-файлы при их открытии. При заражении записывается в конец файла в его последнюю секцию, предварительно увеличив ее размер.
1 июня вирус портит MBR-сектор винчестера и завешивает компьютер. Код MBR-сектора уничтожается, а таблица разбиения диска (Disk Partition Table) портится таким образом, что оказывается зацикленной сама на себя. В результате большинство вариантов DOS не в состоянии загрузиться даже с флоппи-диска - они зацикливаются. В результате данные на пораженном диске целы, однако добраться до них штатными средствами не представляется возможным. Оптимальным решением проблемы является использование загрузочных дискет с чистой операционной системой. Например, Rescue Kit, входящий в поставку Антивируса Касперского Personal или Антивируса Касперского Personal Pro.
При записи в MBR вирус использует прямые вызовы портов контроллера винчестера и, таким образом, обходит встроенную в BIOS защиту от вирусов. Следует отметить, что соответствующая процедура вируса содержит ошибку, которая в некоторых случаях приводит к стандартному сообщению Windows об ошибке в приложении, что, однако, спасает MBR от разрушения.
Вирус получил название "Spaces" ("Пробелы") по причине того, что использует два символа пробел для детектирования своей копии в файлах и системной памяти. В файлах два пробела записываются вирусом в зарезервированное поле PE-заголовка (и перед заражением проверяются), а для детектирования своей резидентной копии в памяти Windows вирус использует VxD-вызов IFSMgr_Get_Version с AX=2020h, на что резидентный вирус в ответ записывает в AX значение DEADh.
Вирус также может быть продетектирован "вручную" по строке "ERL" в конце зараженных файлов. Следует также отметить, что код вируса во многом напоминает вирус "Win95.CIH", и, скорее всего, был написан по его мотивам.
Win95.Dupator
Неопасный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы) и системную библиотеку KERNEL32.DLL. Вирус никак не проявляет своего присутствия в системе. По причине ошибки не работает на WinNT.
При заражении вирус создает в конце файла новую секцию с именем "DUPATOR!" и записывает в нее свой код. Затем вирус либо изменяет стартовый адрес программы (в EXE-файлах Windows), либо правит таблицу экспортов, если заражаемый файл - KERNEL32.DLL.
При запуске зараженных программ вирус заражает KERNEL32.DLL и возвращает управление системе. Процедура заражения других программ активизируется только при последующей загрузке зараженной библиотеки KERNEL32.DLL (при следующей перезагрузке Windows).
Для заражения KERNEL32.DLL вирус копирует его из системного каталога Windows (стандартное расположение этого файла) в основной каталог Windows, например:
WINDOWS\SYSTEM\Kernel32.Dll -> WINDOWS\Kernel32.Dll
WINNT\SYSTEM32\Kernel32.Dll -> WINNT\Kernel32.Dll
и заражает эту копию. При заражении вирус правит таблице экспортов KERNEL32.DLL таким образом, что функция GetFileAttributesA в зараженном KERNEL32.DLL указывает на код вируса. В результате при последующей перезагрузке Windows вирус остается в памяти Windows как часть ядра Windows, перехватывает обращения к атрибутам дисковых файлов (перехват GetFileAttributesA) и заражает эти файлы, если они имеют формат PE EXE.
вверх^
к полной версии
понравилось!
в evernote
Вот от этого добра я сегодня чистил комп около шести с половиной часов. Заебался до ужаса, хотя сейчас вроде бы все в порядке.
--------
Win95.Spaces
Опасный резидентный Windows-вирус. Размножается под Win95/98 и заражает выполняемые файлы Windows - PE EXE-файлы (Portable Executable). При запуске зараженного файла вирус инсталлирует себя в ядро Windows, перехватывает обращения к файлам и заражает PE-файлы при их открытии. При заражении записывается в конец файла в его последнюю секцию, предварительно увеличив ее размер.
1 июня вирус портит MBR-сектор винчестера и завешивает компьютер. Код MBR-сектора уничтожается, а таблица разбиения диска (Disk Partition Table) портится таким образом, что оказывается зацикленной сама на себя. В результате большинство вариантов DOS не в состоянии загрузиться даже с флоппи-диска - они зацикливаются. В результате данные на пораженном диске целы, однако добраться до них штатными средствами не представляется возможным. Оптимальным решением проблемы является использование загрузочных дискет с чистой операционной системой. Например, Rescue Kit, входящий в поставку Антивируса Касперского Personal или Антивируса Касперского Personal Pro.
При записи в MBR вирус использует прямые вызовы портов контроллера винчестера и, таким образом, обходит встроенную в BIOS защиту от вирусов. Следует отметить, что соответствующая процедура вируса содержит ошибку, которая в некоторых случаях приводит к стандартному сообщению Windows об ошибке в приложении, что, однако, спасает MBR от разрушения.
Вирус получил название "Spaces" ("Пробелы") по причине того, что использует два символа пробел для детектирования своей копии в файлах и системной памяти. В файлах два пробела записываются вирусом в зарезервированное поле PE-заголовка (и перед заражением проверяются), а для детектирования своей резидентной копии в памяти Windows вирус использует VxD-вызов IFSMgr_Get_Version с AX=2020h, на что резидентный вирус в ответ записывает в AX значение DEADh.
Вирус также может быть продетектирован "вручную" по строке "ERL" в конце зараженных файлов. Следует также отметить, что код вируса во многом напоминает вирус "Win95.CIH", и, скорее всего, был написан по его мотивам.
Win95.Dupator
Неопасный резидентный Win32-вирус. Заражает приложения Win32 (PE EXE-файлы) и системную библиотеку KERNEL32.DLL. Вирус никак не проявляет своего присутствия в системе. По причине ошибки не работает на WinNT.
При заражении вирус создает в конце файла новую секцию с именем "DUPATOR!" и записывает в нее свой код. Затем вирус либо изменяет стартовый адрес программы (в EXE-файлах Windows), либо правит таблицу экспортов, если заражаемый файл - KERNEL32.DLL.
При запуске зараженных программ вирус заражает KERNEL32.DLL и возвращает управление системе. Процедура заражения других программ активизируется только при последующей загрузке зараженной библиотеки KERNEL32.DLL (при следующей перезагрузке Windows).
Для заражения KERNEL32.DLL вирус копирует его из системного каталога Windows (стандартное расположение этого файла) в основной каталог Windows, например:
WINDOWS\SYSTEM\Kernel32.Dll -> WINDOWS\Kernel32.Dll
WINNT\SYSTEM32\Kernel32.Dll -> WINNT\Kernel32.Dll
и заражает эту копию. При заражении вирус правит таблице экспортов KERNEL32.DLL таким образом, что функция GetFileAttributesA в зараженном KERNEL32.DLL указывает на код вируса. В результате при последующей перезагрузке Windows вирус остается в памяти Windows как часть ядра Windows, перехватывает обращения к атрибутам дисковых файлов (перехват GetFileAttributesA) и заражает эти файлы, если они имеют формат PE EXE.
Вы сейчас не можете прокомментировать это сообщение.
Дневник Мля! | Lost_in_the_Dark_87 - Lost Wisdom |
Лента друзей Lost_in_the_Dark_87
/ Полная версия
Добавить в друзья
Страницы:
раньше»