Win32.FunLove: фанаты рок-групп тоже пишут вирусы

Лаборатория Касперского

12-11-1999

Вернуться на:
стр.36 категории "Программное обеспепчение"
стр.37 категории "Другие IT"

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает о появлении нового Windows вируса Win32.FunLove. Он обнаружен в "диком виде" (In-the-Wild), т.е. для компьютерных пользователей существует реальная опасность заражения данным вирусом. Технические детали Win32.FunLove является неопасным резидентным паразитическим Win32 вирусом.

✐ место для Вашей рекламы

Он заражает PE (Portable Executable) файлы на локальных и сетевых дисках.

Благодаря своей способности размножаться по локальной сети вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски. Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле: ~Fun Loving Criminal~ После запуска зараженного файла, вирус создает в системной директории Windows файл FLCSS.EXE ("Дроппер"), в который записывает свой "чистый" код, и затем запускает его на выполнение. "Дроппер" вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT - как сервис.

После этого активизируется процедура заражения системы. В случае возникновения ошибки в процессе создания "дроппера" для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через "дроппер". Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек. В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и добавляет в стартовый адрес инструкцию "JumpVirus".

Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы. Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*. Вирус имеет черты семейства вирусов {"Bolzano":Win32_Bolzano}. Он изменяет файлы NTLDR и WINNT\System32\ntoskrnl.exe тем же самым способом, что и вирус "Bolzano".

Измененные файлы можно восстановить из резервной копии. Процедуры обнаружения и удаления вируса Win32.FunLove содержатся во внеочередном обновлении антивирусных баз AntiViral Toolkit Pro (AVP) и доступны на сайте "Лаборатории Касперского" по адресу http://www.avp.ru.

Опубликовано: 12 ноября 1999 г.

Ключевые слова: нет

Извините, комментариев пока нет