CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win32.FunLove

Date de la détection 05/12/2004
Classe Virus
Plateforme Win32
Description

FunLove (alias Fun Loving Criminals) est un virus bénin résidant de la mémoire résidente Win32. Il affecte les fichiers PE EXE sur les lecteurs locaux et réseau. En raison de sa capacité d'extension du réseau, le virus peut infecter le réseau local à partir d'un poste de travail infecté, dans le cas où l'autorisation d'accès au réseau autorise l'écriture de cet utilisateur.

Le virus contient les chaînes de texte suivantes:




 ~ Fun criminel d'amour ~



Lorsqu'un fichier infecté est exécuté, le virus crée un fichier FLCSS.EXE dans le répertoire système Windows, y écrit son code "pur" et exécute ce fichier. Ce virus "dropper" (fichier FLCSS.EXE) a un format Win32 PE et est exécuté par le virus en tant qu'application Windows cachée (sous Win9x) ou en tant que service (sous WinNT), et la routine d'infection prend le contrôle.

En cas d'erreur lors de la création du fichier dropper (lorsque le virus est exécuté à partir d'un fichier infecté), le virus exécute la routine d'infection à partir de son exemple dans le fichier hôte infecté. La recherche de fichier et le processus d'infection sont exécutés en arrière-plan en tant que "thread", et par conséquent, le programme hôte est exécuté sans délai "visible".

La routine d'infection analyse tous les lecteurs locaux de C: jusqu'à Z :, puis recherche les ressources réseau, analyse les arborescences de sous-répertoires et infecte les fichiers PE ayant une extension de nom .OCX, .SCR ou .EXE. En infectant un fichier, le virus écrit son code à la fin du fichier dans la dernière section du fichier et corrige sa routine d'entrée avec une instruction "JumpVirus". Le virus vérifie les noms de fichiers et n'infecte pas les fichiers: ALER *, AMON *, _AVP *, AVP3 *, AVPM *, F-PR *, NAVW *, SCAN *, SMSS *, DDHE *, DPLA *, MPLA *.

Le virus est lié à la famille des virus Bolzano et corrige les fichiers NTLDR et WINNTSystem32ntoskrnl.exe de la même manière que le virus "Bolzano". Les fichiers corrigés doivent être restaurés à partir de la sauvegarde.


Lien vers l'original