Virus.Win32.FunLove

FunLove (alias Fun Loving Criminals) est un virus bénin résidant de la mémoire résidente Win32. Il affecte les fichiers PE EXE sur les lecteurs locaux et réseau. En raison de sa capacité d'extension du réseau, le virus peut infecter le réseau local à partir d'un poste de travail infecté, dans le cas où l'autorisation d'accès au réseau autorise l'écriture de cet utilisateur.

Le virus contient les chaînes de texte suivantes:

 ~ Fun criminel d'amour ~

Lorsqu'un fichier infecté est exécuté, le virus crée un fichier FLCSS.EXE dans le répertoire système Windows, y écrit son code "pur" et exécute ce fichier. Ce virus "dropper" (fichier FLCSS.EXE) a un format Win32 PE et est exécuté par le virus en tant qu'application Windows cachée (sous Win9x) ou en tant que service (sous WinNT), et la routine d'infection prend le contrôle.

En cas d'erreur lors de la création du fichier dropper (lorsque le virus est exécuté à partir d'un fichier infecté), le virus exécute la routine d'infection à partir de son exemple dans le fichier hôte infecté. La recherche de fichier et le processus d'infection sont exécutés en arrière-plan en tant que "thread", et par conséquent, le programme hôte est exécuté sans délai "visible".

La routine d'infection analyse tous les lecteurs locaux de C: jusqu'à Z :, puis recherche les ressources réseau, analyse les arborescences de sous-répertoires et infecte les fichiers PE ayant une extension de nom .OCX, .SCR ou .EXE. En infectant un fichier, le virus écrit son code à la fin du fichier dans la dernière section du fichier et corrige sa routine d'entrée avec une instruction "JumpVirus". Le virus vérifie les noms de fichiers et n'infecte pas les fichiers: ALER *, AMON *, _AVP *, AVP3 *, AVPM *, F-PR *, NAVW *, SCAN *, SMSS *, DDHE *, DPLA *, MPLA *.

Le virus est lié à la famille des virus Bolzano et corrige les fichiers NTLDR et WINNTSystem32ntoskrnl.exe de la même manière que le virus "Bolzano". Les fichiers corrigés doivent être restaurés à partir de la sauvegarde.