病毒標籤
病毒名稱:Win32.Funlove.4099
其它名稱:Win32.FLC, Win32.FLCSS
具體介紹
同一個簡單的添加一樣,Win32/Funlove.4099將它的代碼複製到宿主檔案的最後一個扇區的結尾,然後,它修改PE
檔案頭信息以顯示新的扇區大小,使扇區的特徵適應病毒的需要,同時病毒修改原檔案入口點的程式代碼以便執行病毒代碼。
當一個染毒程式被運行,病毒代碼程式獲得系統控制權,Win32/Funlove.4099 病毒在系統目錄下創建FLCSS.EXE檔案,並從染毒宿主檔案的最後提取出病毒代碼,將其寫入該檔案中,然後FLCSS.EXE被執行。
如果是在NT的許可許可權下運行,FLCSS.EXE會將自身像一個服務程式一樣安裝到NT機器上。它會以"FLC"顯示在標準的NT服務列表中,並且被設定為在每次啟動時自動運行此服務。在Windows 9X下,它像一個隱含程式一樣運行,在任務列表中是不可見的。
在病毒程式第一次運行時,該病毒會按照一定的時間間隔,周期性地檢測每一個驅動器上的EXE,SCR(屏保程式)和OCX(ActiveX control)檔案,找到相應的檔案就感染它們。它還搜尋在網路上可使用的共享資源,並感染任何有訪問許可權的同一類型的檔案。因此,它可以在機器間完全開放許可權的
已分享檔案上非常快地傳播。該病毒檢測以下檔案名稱且不感染它們:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
儘管該病毒對數據沒有直接的破壞性,但是在NT下,Win32/Funlove.4099 病毒還是對NTOSKRNL.EXE 檔案做了一個小的修改(patch),使得檔案的許可請求總是返回允許訪問(access allowed),這意味著被感染機器的安全已受到了極大地威脅。只要是在被修改的機器上,所有的用戶都擁有了對每一個檔案的完全控制訪問權,即使是在系統中可能擁有最低許可權的GUEST,也能讀取或修改所有檔案,包括通常只有管理員才能訪問的檔案。在NT啟動時,NTLDR將檢測NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR將允許系統載入修改後的NTOSKRNL檔案。這種修改只能在某些NT服務包(service packs)中起作用,但是不管當前機器的SP級別病毒都會申請修改程式。在感染FLC病毒的NT機器上清除病毒後,需要用
備份檔案對這些被修改的檔案進行恢復,或者重新安裝這些檔案。
如果FLCSS.EXE 運行在DOS下,病毒將顯示'~Fun Loving Criminal~'字串,然後它試圖通過鍵盤控制器重新啟動系統。這大概是希望Windows被載入且病毒可能有另一個機會去執行。這種嘗試經常失敗,而計算機則被鎖。