Win32.Funlove.4099
病毒名称:Win32.Funlove.4099
其它名称:Win32.FLC, Win32.FLCSS
病毒属性:文件型病毒 危害性:低危害 流行程度:
具体介绍:
Win32/Funlove.4099是一个快速感染Windows 95/98和NT的病毒,而且还可以传播到网络的共享资源中,在NT操作系统中,会受到NT安全级别的控制。
病毒中有'~Fun Loving Criminal~'字样。 在11月上旬,几家反病毒公司在几个不同的地方收到了Win32/Funlove.4099的报告,该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。 KILL V5.51版本已可以检测该病毒。