基本信息
病毒名稱 32/funlove.4070
病毒中文名 歡愛病毒
病毒類型 檔案型
危險級別 ★★
影響平台 Win 9x/2000/XP/NT/Me/2003
感染對象 PE-EXE
描述
32/FunLove.4070病毒是駐留記憶體的Win32病毒, 它感染本地和網路中的PE-EXE檔案。病毒本身就是只具有’.code’部分PE格式的執行檔。 當染毒的檔案被運行時,該病毒將在Windows\system目錄下創建FLCSS.EXE(4,608 bytes)檔案,在其中只寫入純代碼部分,並運行這個生成的檔案。一旦在創建FLCSS.EXE檔案的時候發生錯誤,病毒將從染毒的主機檔案中運行傳染模組。該傳染模組被作為獨立的執行緒在後台運行,主機程式在執行時幾乎沒有可察覺的延時。
傳染模組將掃描本地從 C: to Z:的所有驅動器,然後搜尋網路資源,掃描網路中的子目錄樹並感染具有.OCX,.SCR,or .EXE擴展名的PE檔案。當感染一個檔案時,該病毒將其代碼寫到檔案的尾部並且添加啟動程式(8位元組長的代碼)將控制權傳遞給病毒體。當被激活,病毒將首先恢復這8位元組的代碼然後運行它的主程式。
只有在當前染毒的工作站用戶具有對網路資源寫訪問權利的時候病毒才能感染其中的PE檔案,這樣就在相當程度上限制了病毒的傳播。
病毒在感染的時候檢查檔案名稱,它不感染以下列4個字母開始的檔案:
LER AMON _AVP AVP3 AVPM F-PR NAVW SCAN smss DDHE DPLA MPLA
這個病毒類似Bolzano病毒那樣修補NTLDR和WINNT\System32\ntoskrnl.exe 被修補的檔案不可以恢復只能通過備份來恢復。
該病毒不具有任何有效載體,它包含下列文本:
"Fun Loving Criminal"
該文字被放置在’This program cannot be run in DOS mode.’的位置。
當病毒“點滴器”從DOS啟動時它將輸出訊息並重啟系統。
該病毒可以重複感染檔案。
解決方案
1.及時升級江民防毒軟體,打開監視程式。KV的郵件監視功能可以有效攔截通過郵件傳播的網路蠕蟲病毒。防止病毒進入系統。
2.已被此病毒感染的用戶可以使用江民防毒軟體最新版本直接在系統下徹底查殺。方法是先對系統記憶體進行掃描查殺,再對整個硬碟進行查殺。對於病毒創建的病毒體檔案,江民防毒軟體會自動進行刪除。
