Win32.Funlove是一種影響Win9x / WinNT的Win32病毒。
基本介紹
- 中文名:Win32.Funlove
- 處理時間:1999-11-08
- 病毒類型:Win32病毒
- 影響系統:Win9x / WinNT
病毒別名,病毒行為,
病毒別名
:Win32.Funlove.4099,Win32.Funlove.4068,W32/FunLove.gen, PE_FUNLOVE.4099, W32/Flcss
威脅級別:★★
中文名稱:
病毒行為
Funlove病毒是一個Win32下的PE病毒,因病毒體內含有字元串"~Fun Loving Criminal~"而命名為Funlove病毒。屬駐留記憶體、感染檔案型,感染EXE、SCR、OCX三種類型的檔案,被感染檔案增長4099位元組,病毒進駐系統後將會在Windows的System目錄下建立flcss.exe檔案,是病毒本身的點滴器,長度4608位元組。
Funlove病毒可以通過區域網路進行傳播,當染毒程式運行後,該病毒將創建一份名為“flcss.exe"的檔案,放在當前Windows系統的System目錄下(NT系統中為System32),並同時開啟一個執行緒進行自身的傳染,被感染的宿主程式運行時幾乎沒有時間延遲
病毒的感染部分代碼將搜尋所有本地驅動器(從C:到Z:)以及網路資源(區域網路上的已分享檔案夾),在其中搜尋帶有EXE、SCR、OCX擴展名的檔案,驗證後進行感染,對齊最後一個節之後將自身代碼填入其中、修改PE程式入口代碼,被感染檔案長度通常會增加4099位元組或者更多。該病毒比較奇怪的地方是在感染前會先判斷檔案名稱稱開頭幾個字母是否是AMON、AVP3、_AVP、F_PR*、NAVW*、SCAN*、等等,如果是則不感染。