荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mic (酷鱼), 信区: Virus
标 题: PE_FUNLOVE.4099
发信站: 荔园晨风BBS站 (Fri Apr 13 15:38:13 2001), 转信
病毒分类 WINDOWS 病毒名称 PE_FUNLOVE.4099
别 名 W32/FUNLOVE 病毒长度 4099字节
危害程度 轻 传播途径 可执行文件
传播程度 少 感 染 文件
病毒发作
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感
染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目
录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网
络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测
,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由
于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最
后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特
征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099
病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码
,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装
到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动
时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中
是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一
个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的
文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的
同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播
。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*,
F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病
毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总
是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地
威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访
问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包
括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完
整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。
这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的
SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备
份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然
后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能
有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
--
██ ██ █ ██
▉██▉█ ▉ ▉
▇ █ █ ▉ ▉
█ █ █ █ ██
══════════════════════════
═════════════ 千年一回·与君共醉 ══
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店