簡介
病毒名稱:Win32/funlove.4070
中 文 名:歡愛病毒
病毒長度:4099位元組
病毒類型:檔案型病毒
危害等級:★★★
影響平台:Win 9x/2000/XP/NT/Me/2003
措施
近日Win32/FunLove.4070歡愛時光病毒再次出現,並借惡意網站進行傳播。當用戶訪問了黑客指定的站點(一個木馬下載站點),便會感染歡愛時光病毒,並會被植入一個盜號木馬。歡愛時光是駐留記憶體的Win32病毒, 它感染本地和網路中的PE-EXE檔案。染毒檔案運行後,該病毒將在Windows目錄下創建FLCSS.EXE檔案,在其中只寫入純代碼部分,並運行這個生成的檔案。若創建FLCSS.EXE檔案時發生錯誤,病毒將從染毒的主機檔案中運行傳染模組。該傳染模組被作為獨立的執行緒在後台運行。傳染模組將掃描本地所有驅動器,然後搜尋網路資源,掃描網路中的子目錄樹並感染以.OCX、.SCR以及.EXE為擴展名的PE檔案。感染一個檔案時,該病毒將其代碼寫到檔案的尾部並且添加啟動程式(8位元組的代碼),將控制權傳遞給病毒體。被激活後,病毒將首先恢復這8位元組的代碼然後運行它的主程式。修改System32目錄下的ntoskrnl.exe檔案。被修改的檔案只能通過備份來恢復。當病毒“點滴器”從DOS啟動時它將輸出訊息並重啟系統。該病毒可重複感染檔案。
