Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Fani Rocka też tworzą wirusy komputerowe - Win32.FunLove

Informujemy o odkryciu nowego wirusa Win32.FunLove posiadającego ogromne możliwości rozprzestrzeniania się poprzez sieci i działającego w środowisku Windows. Wirus został odnaleziony w działaniu co oznacza, że istnieje ryzyko zainfekowania.

Szczegóły techniczne

Jest to rezydentny i pasożytniczy wirus Win32. Nie jest niebezpieczny. Atakuje pliki PE EXE na lokalnych i sieciowych dyskach. Ze względu na swoje umiejętności rozprzestrzeniania się, wirus może zainfekować lokalną sieć z jednej z zainfekowanych stacji roboczych (oczywiście jeżeli prawa dostępu sieci zezwalają na zapisywanie na atakowanej stacji roboczej).

Zainfekowane pliki można z łatwością rozpoznać. Po ciągu

    ~Fun Loving Criminal~

który znajduje się w ciele wirusa.

Kiedy zainfekowany plik jest uruchamiany, wirus tworzy plik FLCSS.EXE w katalogu systemowym Windows, zapisuje tam swój "czysty" kod i uruchamia ten plik. Plik FLCSS.EXE ma format pliku PE Win32 i jest uruchamiany przez wirusa jako ukryta aplikacja Windows (w przypadku Windows 95/98) lub jako serwis (w przypadku Windows NT), po czym funkcja infekująca przejmuje kontrolę.

W przypadku wystąpienia błędu podczas tworzenia pliku FLCSS.EXE, wirus uruchamia procedurę infekującą z własnego ciała. Proces szukania i infekowania plików jest uruchamiany w tle jako wątek i w rezultacie program główny jest aktywowany bez dających się odczuć spowolnień.

Procedura infekująca skanuje wszystkie lokalne dyski od C: do Z:, następnie sprawdza zasoby sieciowe i przeszukuje w nich drzewa podkatalogów oraz infekuje pliki PE mające rozszerzenia .OCX, .SCR i .EXE. Podczas infekowania pliku, wirus zapisuje swój kod na końcu pliku (do ostatniej sekcji pliku) i nadpisuje jego wejściową procedurę instrukcją "JumpVirus". Wirus sprawdza nazwy plików i nie infekuje następujących: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Wirus należy do rodziny "Bolzano" i zmienia pliki NTLDR oraz WINNT\System32\ntoskrnl.exe w taki sposób jak inne wirusy z tej rodziny.



 1999-11-11  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych