病毒資料
病毒中有'~Fun Loving Criminal~'字樣。 該病毒沒有故意的破壞性,但是由於NT系統安全性很差而可能造成的破壞還是應當引起注意的。
同一個簡單的添加一樣,Win32/Funlove.4099將它的代碼複製到宿主檔案的最後一個
扇區的結尾,然後,它修改PE
檔案頭信息以顯示新的扇區大小,使扇區的特徵適應病毒的需要,同時病毒修改原檔案
入口點的程式代碼以便執行病毒代碼。
當一個染毒程式被運行,病毒代碼程式獲得系統控制權,
Win32/Funlove.4099病毒在系統目錄下創建FLCSS.EXE檔案,並從染毒宿主檔案的最後提取出病毒代碼,將其寫入該檔案中,然後FLCSS.EXE被執行。
如果是在NT的許可許可權下運行,FLCSS.EXE會將自身像一個服務程式一樣安裝到NT機器上。它會以"FLC"顯示在標準的NT服務列表中,並且被設定為在每次啟動時自動運行此服務。在
Windows 9X下,它像一個隱含程式一樣運行,在任務列表中是不可見的。
在病毒程式第一次運行時,該病毒會按照一定的時間間隔,周期性地檢測每一個驅動器上的EXE,SCR(屏保程式)和OCX(ActiveX control)檔案,找到相應的檔案就感染它們。它還搜尋在網路上可使用的共享資源,並感染任何有訪問許可權的同一類型的檔案。因此,它可以在機器間完全開放許可權的
已分享檔案上非常快地傳播。該病毒檢測以下檔案名稱且不感染它們:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
儘管該病毒對數據沒有直接的破壞性,但是在NT下,Win32/Funlove.4099 病毒還是對NTOSKRNL.EXE 檔案做了一個小的修改(patch),使得檔案的許可請求總是返回允許訪問(access allowed),這意味著被感染機器的安全已受到了極大地威脅。只要是在被修改的機器上,所有的用戶都擁有了對每一個檔案的完全控制訪問權,即使是在系統中可能擁有最低許可權的GUEST,也能讀取或修改所有檔案,包括通常只有管理員才能訪問的檔案。在NT啟動時,NTLDR將檢測NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR將允許系統載入修改後的NTOSKRNL檔案。這種修改只能在某些NT服務包(service packs)中起作用,但是不管當前機器的SP級別病毒都會申請修改程式。在感染FLC病毒的NT機器上清除病毒後,需要用
備份檔案對這些被修改的檔案進行恢復,或者重新安裝這些檔案。
如果FLCSS.EXE 運行在DOS下,病毒將顯示'~Fun Loving Criminal~'字串,然後它試圖通過鍵盤控制器重新啟動系統。這大概是希望Windows被載入且病毒可能有另一個機會去執行。這種嘗試經常失敗,而計算機則被鎖。
病毒歷程
WIN32.FunLove.4099病毒是在99年9月被發現,但本文只是提醒您不要忽視已經出現的病毒,一不留神,它們也會“死灰復燃”的。
FunLove是駐留記憶體的Win32 病毒,該病毒既沒有加密又不具有多態性。它感染本地和網路中的PE EXE檔案。病毒本身就是只具有'.code'部分的PE 執行檔。
當染毒的檔案被運行時,該病毒將在Windows system目錄下創建FLCSS.EXE檔案,在其中只寫入
純代碼部分,並運行這個生成的檔案。這個檔案就變成病毒“點滴器”(“dropper”)——在WIN 9X系統中,它(“點滴器”)將由被作為隱含的Windows 應用程式啟動,而WIN NT 中將被作為一個服務啟動。
萬一在創建FLCSS.EXE檔案的時候發生錯誤,病毒將從染毒的主機檔案中運行傳染模組。該傳染模組被作為獨立的執行緒在後台運行,主機程式在執行時幾乎沒有可察覺的延時。
傳染模組將掃描本地從 C: to Z:的所有驅動器,然後搜尋網路資源,掃描網路中的子目錄樹並感染具有.OCX, .SCR和.EXE擴展名的PE檔案。當感染一個檔案時,該病毒將其代碼寫到那個檔案的尾部——檔案的最後部分並且添加啟動程式(8位元組長的代碼)將控制權傳遞給病毒體。當被激活,病毒將首先恢復這8位元組的代碼然後運行它的主程式。
只有在當前染毒的工作站用戶具有對網路資源寫訪問權利的時候病毒才能感染其中的
PE檔案,這樣就在相當程度上限制了病毒的傳播。
病毒在感染的時候檢查檔案名稱,它不感染以下列4個字母開始的檔案:ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA,這個病毒類似Bolzano病毒那樣修補NTLDR和WINNT\System32\ntoskrnl.exe檔案。被修補的檔案不可以恢復只能通過備份來恢復。
涉及性
從1999年現身後至今,Funlove一直是區域網路用戶最頭痛的病毒。它主要感染本地及網路中的PE—EXE檔案,而由於在區域網路內,
伺服器或其它某些機器必須長期保持開機狀態,一旦被“Funlove”感染,電腦便處於帶毒運行狀態,始終無法徹底清除。這樣致使以往所有的
防毒軟體對Funlove屢殺不止,染毒電腦反覆纏綿於“症”塌。日前,北京
瑞星公司向業界宣布:瑞星防毒軟體的“Funlove記憶體防毒技術”已能夠徹底清除Funlove病毒。套用瑞星防毒軟體,染毒後的機器不需重啟就能夠帶毒防毒,從此,區域網路用戶終於可以和難纏的Funlove病毒一刀兩斷了。
Funlove是駐留於記憶體的Win32病毒,其最大一個特點即易於檢測定的時間間隔,周期性地檢測每一個驅動器上的EXE、SCR(屏保程式)和OCX(Active X control)檔案,並對相應的檔案進行感染與重新感染。只要有一個染毒程式被運行,病毒代碼程式即獲得系統控制權,Funlove.FLC病毒就會在Wndows\system目錄下創建一個只含病毒代碼的執行檔案FLCSS.EXE。此後,每當病毒程式得以運行時,它都會在後台創建一個
執行緒,搜尋所有本地驅動器和可寫的網路資源,並在機器間完全共享的檔案中極為迅速地傳播。
病毒危害
危險性
當“Funlove”侵入
網路管理員所在的電腦後,將導致通過這台被感染的電腦前來訪問的所有用戶擁有與網路管理員同樣的許可權,從而任何人都可以隨意刪改整個系統的安全設定,危及整個區域網路內的信息資料安全。到目前為止,Funlove病毒已為全球範圍內的區域網路用戶帶來了巨大損失:戴爾計算機公司在愛爾蘭的Linerick工廠因生產系統發現被該病毒感染而被迫停產兩天;國內用戶,特別是一些重要的行業領域代表企業也是損失慘重。
要徹底清除難纏的Funlove,目前最有效的方法即套用
瑞星防毒軟體獨有的徹底查殺Funlove病毒的功能。
瑞星防毒軟體網路版可以徹底清除駐留記憶體的Funlove病毒,其全網自動升級、全網查防毒功能更將保障區域網路內所有機器杜絕Funlove病毒的“死灰復燃”,同時免遭新型病毒的攻擊,讓企業與病毒徹底一刀兩斷。
傳播方式
一家俄羅斯反病毒公司周五為一封本身攜帶真正意義蠕蟲的病毒警告電子郵件道歉,該電郵被用戶認為是警告病毒發生的公司電子郵件。
俄羅斯Kaspersky實驗室說,上周四對預定用戶發出的公司“病毒新聞”電子郵件,實際上是由
黑客假冒公司名義發出的。黑客設法攻入了位於莫斯科Kaspersky試驗室的電腦系統,盜竊了公司新聞郵件的郵件列表。
公司發起人和研究負責人Kaspersky說,我們正在調查這次攻擊的源頭,同時公司也在採取必要措施,以保證這類攻擊將來不會再次發生。
公司還沒有得到任何受感染
郵件病毒危害的訊息,但是公司已經決定對所有受到病毒感染的人提供免費的技術支持。
被感染的電子郵件信息發至數千名預定用戶,郵件攜帶了Braid
蠕蟲的副本。Braid
蠕蟲也被Kaspersky公司稱作Bridex,病毒的擴散程度非常廣。英國電子郵件服務商MessageLabs 從其所服務的客戶公司中攔截了這個惡意附屬檔案,公司在24小時內僅發現了2000多個病毒副本。在該公司每日10大病毒列表上,它排名第五。該公司在24小時內攔截了9000封感染了Klez病毒的電子郵件。
Braid病毒是Funlove病毒的變種,是由虛擬Basic描述語言寫成的,病毒自帶電子郵件引擎。這意味著即便被感染電腦上沒有安裝Outlook這類客戶端電郵軟體,病毒也能自我擴散。病毒感染運行Windows作業系統的電腦,在硬碟上複製幾個檔案,並且在各類檔案中尋找電子郵件地址,然後再向這些地址自動地發出電郵。
安全專家發出警報:Funlove變種病毒--一種新郵件
蠕蟲正在網際網路上蔓延,目標是運行微軟Windows作業系統的電腦。 此病毒叫W32/Braid.A或I-Worm.Bridex,以
郵件的形式傳播,沒有郵件主題,其附屬檔案為README.EXE。
該病毒的傳播方式及其狡猾,它能誘使潛在受害者去激活它。它把郵件附屬檔案README.EXE屬性設定為“來自Trend Microsoft Inc.”的“Anti Virus World System””的字眼。 當收件人雙擊附屬檔案時,此
蠕蟲就會將Funlove變種病毒“Bride.exe”的副本複製到本地系統,修改註冊表,使得它在每次機器啟動時能自動運行,然後將自己的副本向Outlook地址簿中的所有地址傳送。
病毒起源
Funlove是一個郵件
蠕蟲病毒,最初發現於1999年11月,專門感染Windows的PE檔案。在感染
本地機器的
執行檔後,它又會將自己傳播到區域網路或廣域網上去破壞其他機器的執行檔。打開任何損壞的
執行檔就會激活病毒副本。
防範信息
安全專家專家稱,由於利用了微軟Outlook、Outlook Express及IE等產品的IFrame漏洞,新
蠕蟲“Bridex/Braid”能夠不需與用戶互動的情況下就可運行。微軟在2001年就發布了此漏洞的補丁,下載地。
清除方式
清除Funlove變種病毒,安全專家建議刪除被感染機器上的任何受影響檔案,然後運行
防毒軟體查殺Funlove變種病毒,再重新安裝Windows作業系統。