Virus.Win32.FunLove

FunLove (também conhecido como Fun Loving Criminals) é um vírus Win32 parasita residente na memória benigna. Ela afeta os arquivos EXE do PE em unidades locais e de rede. Devido à sua capacidade de difusão de rede, o vírus pode infectar a rede local de uma estação de trabalho infectada, no caso de a permissão de acesso à rede permitir a gravação desse usuário.

O vírus contém as seguintes sequências de texto:

 ~ Criminoso Amoroso Divertido ~

Quando um arquivo infectado é executado, o vírus cria um arquivo FLCSS.EXE no diretório de sistema do Windows, grava seu código "puro" e executa esse arquivo. Este vírus "dropper" (arquivo FLCSS.EXE) tem um formato Win32 PE e é executado pelo vírus como um aplicativo oculto do Windows (em Win9x) ou como um serviço (em WinNT), ea rotina de infecção assume o controle.

Caso tenha ocorrido um erro durante a criação do arquivo dropper (quando o vírus for executado a partir de um arquivo infectado), o vírus executará a rotina de infecção a partir de seu exemplo no arquivo host infectado. A pesquisa de arquivos e o processo de infecção são executados em segundo plano como "thread" e, como resultado, o programa host é executado sem atrasos "visíveis".

A rotina de infecção verifica todas as unidades locais de C: até Z:, em seguida, procura recursos de rede, verifica árvores de subdiretórios e infecta arquivos PE que possuem uma extensão de nome .OCX, .SCR ou .EXE. Ao infectar um arquivo, o vírus grava seu código no final do arquivo na última seção do arquivo e corrige sua rotina de entrada com uma instrução "JumpVirus". O vírus verifica nomes de arquivos e não infecta os arquivos: ALER *, AMON *, _AVP *, AVP3 *, AVPM *, F-PR *, NAVW *, SCAN *, SMS *, DDHE *, DPLA *, MPLA *.

O vírus está relacionado à família de vírus Bolzano e corrige os arquivos NTLDR e WINNTSystem32ntoskrnl.exe de maneira similar ao vírus "Bolzano". Os arquivos corrigidos devem ser restaurados do backup.