ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win32.FunLove

Fecha de detección 05/12/2004
Clase Virus
Plataforma Win32
Descripción

FunLove (también conocido como Fun Loving Criminals) es un virus benigno parásito Win32 residente de memoria. Afecta a los archivos PE EXE en unidades locales y de red. Debido a su capacidad de propagación de red, el virus puede infectar la red local desde una estación de trabajo infectada, en el caso de que el permiso de acceso a la red permita la escritura de este usuario.

El virus contiene las siguientes cadenas de texto:




 ~ Diversión amorosa criminal ~



Cuando se ejecuta un archivo infectado, el virus crea un archivo FLCSS.EXE en el directorio del sistema de Windows, escribe su código "puro" allí y ejecuta este archivo. Este virus "dropper" (archivo FLCSS.EXE) tiene un formato Win32 PE y es ejecutado por el virus como una aplicación oculta de Windows (bajo Win9x) o como un servicio (bajo WinNT), y la rutina de infección toma el control.

En caso de que se haya producido un error al crear el archivo dropper (cuando el virus se ejecuta desde un archivo infectado), el virus ejecuta la rutina de infección de su ejemplo en el archivo host infectado. El proceso de búsqueda de archivos e infección se ejecuta en segundo plano como un "hilo" y, como resultado, el programa host se ejecuta sin demoras "visibles".

La rutina de infección escanea todas las unidades locales desde C: hasta Z :, luego busca recursos de red, escanea árboles de subdirectorios e infecta archivos PE que tienen una extensión de nombre .OCX, .SCR o .EXE. Al infectar un archivo, el virus escribe su código al final del archivo en la última sección del archivo y actualiza su rutina de entrada con una instrucción "JumpVirus". El virus verifica los nombres de archivo y no infecta los archivos: ALER *, AMON *, _AVP *, AVP3 *, AVPM *, F-PR *, NAVW *, SCAN *, SMSS *, DDHE *, DPLA *, MPLA *.

El virus está relacionado con la familia del virus Bolzano y parche los archivos NTLDR y WINNTSystem32ntoskrnl.exe de forma similar al virus "Bolzano". Los archivos parcheados deben restaurarse a partir de la copia de seguridad.


Enlace al original