Virus.Win32.FunLove

FunLove (aka Fun Loving Criminals) iyi niyetli bir bellek yerleşik parazit Win32 virüsüdür. Yerel ve ağ sürücülerinde PE EXE dosyalarını etkiler. Ağın yayılma kabiliyetinden ötürü, virüs, ağ erişim izninin bu kullanıcının yazılmasına izin vermesi durumunda, enfekte olmuş bir iş istasyonundan yerel ağa bulaşabilir.

Virüs aşağıdaki metin dizelerini içerir:

 ~ Eğlenceli seven suçlu ~

Virüs bulaşmış bir dosya çalıştırıldığında, virüs Windows sistem dizininde bir FLCSS.EXE dosyası oluşturur, "saf" kodunu oraya yazar ve bu dosyayı çalıştırır. Bu virüs "damlalık" (FLCSS.EXE dosya) bir Win32 PE biçimine sahip ve gizli bir Windows uygulaması (Win9x altında) veya bir hizmet (WinNT altında) olarak virüs tarafından çalıştırılır ve enfeksiyon rutin kontrolünü alır.

Damlalık dosyasını oluştururken bir hata oluştuğunda (virüs, virüs bulaşmış bir dosyadan çalıştırıldığında), virüs bulaşmış ana bilgisayar dosyasındaki örneğinden bulaşma yordamını çalıştırır. Dosya arama ve bulaşma işlemi arka planda bir "iş parçacığı" olarak çalıştırılır ve sonuç olarak, ana bilgisayar programı "görünür" gecikme olmadan yürütülür.

Enfeksiyon rutini tüm yerel sürücüleri C: 'den Z:' ye kadar tarar, daha sonra ağ kaynaklarını arar, orada bulunan alt dizin ağaçlarını tarar ve bir .OCX, .SCR ya da .EXE ad uzantısına sahip PE dosyalarını bozar. Bir dosyaya virüs bulaşırken, kodu dosyanın sonuna son dosya bölümüne yazar ve giriş rutini bir "JumpVirus" komutuyla yatar. Virüs dosya isimlerini kontrol eder ve dosyaları etkilemez: ALER *, AMON *, _AVP *, AVP3 *, AVPM *, F-PR *, NAVW *, SCAN *, SMSS *, DDHE *, DPLA *, MPLA *.

Virüs, Bolzano virüs ailesi ile ilgilidir ve "Bolzano" virüsünün yaptığı gibi NTLDR ve WINNTSystem32ntoskrnl.exe dosyalarını yamalar. Düzeltilen dosyalar yedeklemeden geri yüklenmelidir.