基本介紹
- 外文名:Win32/Funlove.4099
- 別名:PE_FUNLOVE.4099
- 系統:Windows 95/98
- 特點:快速感染Windows 95/98的病毒
基本信息,執行症狀,
基本信息
病毒特點:
Win32/Funlove.4099是一個,而且還可以傳播到網路的共享資源中,在NT作業系統中,會受到NT安全級別的控制。
執行症狀
當一個染毒程式被運行,病毒代碼程式獲得系統控制權,Win32/Funlove.4099 病毒在系統目錄下創建FLCSS.EXE檔案,並從染毒宿主檔案的最後提取出病毒代碼,將其寫入該檔案中,然後FLCSS.EXE被執行。
如果是在NT的許可許可權下運行,FLCSS.EXE會將自身像一個服務程式一樣安裝到NT機器上。它會以"FLC"顯示在標準的NT服務列表中,並且被設定為在每次啟動時自動運行此服務。在Windows 9X下,它像一個隱含程式一樣運行,在任務列表中是不可見的。
在病毒程式第一次運行時,該病毒會按照一定的時間間隔,周期性地檢測每一個驅動器上的EXE,SCR(屏保程式)和OCX(ActiveX control)檔案,找到相應的檔案就感染它們。它還搜尋在網路上可使用的共享資源,並感染任何有訪問許可權的同一類型的檔案。因此,它可以在機器間完全開放許可權的已分享檔案上非常快地傳播。該病毒檢測以下檔案名稱且不感染它們:ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
儘管該病毒對數據沒有直接的破壞性,但是在NT下,該毒還是對NTOSKRNL.EXE 檔案做了一個小的修改(patch),使得檔案的許可請求總是返回允許訪問(access allowed),這意味著被感染機器的安全已受到了極大地威脅。只要是在被修改的機器上,所有的用戶都擁有了對每一個檔案的完全控制訪問權,即使是在系統中可能擁有最低許可權的GUEST,也能讀取或修改所有檔案,包括通常只有管理員才能訪問的檔案。在NT啟動時,NTLDR將檢測NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR將允許系統載入修改後的NTOSKRNL檔案。這種修改只能在某些NT服務包(service packs)中起作用,但是不管當前機器的SP級別病毒都會申請修改程式。在感染FLC病毒的NT機器上清除病毒後,需要用備份檔案對這些被修改的檔案進行恢復,或者重新安裝這些檔案。
