FunLove查杀技巧：Funlove病毒原理及查杀方法

　　fun love，病毒。名字win32.funlove4608(4099)，病毒体内有funlovingcriminal的字符，驻留内存，感染exe,scr,ocx三类文件，局域网传播，不感染amon,avp3,fpr,navw,scan打头的文件。

　　应对方法是用毒霸的funlove专杀工具。

　　知识库编号： RSV0512264

　　内容分类： 文件型病毒

　　关键词： Funlove

　　适用操作系统：Windows 操作系统

　　适用操作系统补丁版本：全部补丁适用

　　关于Funlove病毒的介绍。

　　这是WIN32类型的病毒，它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件)，如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE,.SCR和.OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测，以便能够感染系统文件。

　　病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性，但是由于NT系统安全性问题而可能造成的破坏还是应当引起注意的。

　　同一个简单的添加一样，Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾，然后，它修改PE文件头信息以显示新的扇区大小，使扇区的特征适应病毒的需要，同时病毒修改原文件入口点的程序代码以便执行病毒代码。

　　当一个染毒程序被运行，病毒代码程序获得系统控制权，Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件，并从染毒宿主文件的最后提取出病毒代码，将其写入该文件中，然后FLCSS.EXE被执行。

　　如果是在NT的许可权限下运行，FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中，并且被设置为在每次启动时自动运行此服务。在Windows 9X下，它像一个隐含程序一样运行，在任务列表中是不可见的。

　　在病毒程序第一次运行时，该病毒会按照一定的时间间隔，周期性地检测每一个驱动器上的EXE，SCR(屏保程序)和OCX(ActiveX control)文件，找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源，并感染任何有访问权限的同一类型的文件。因此，它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们：ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。

　　尽管该病毒对数据没有直接的破坏性，但是在NT下，Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch)，使得文件的许可请求总是返回允许访问(access allowed)，这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上，所有的用户都拥有了对每一个文件的完全控制访问权，即使是在系统中可能拥有最低权限的GUEST，也能读取或修改所有文件，包括通常只有管理员才能访问的文件。在NT启动时，NTLDR将检测NTOSKRNL.EXE 的完整性，所以病毒也修改NTLDR，因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用，但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后，需要用备份文件对这些被修改的文件进行恢复，或者重新安装这些文件。

　　如果FLCSS.EXE 运行在DOS下，病毒将显示'~Fun Loving Criminal~'字串，然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败，而计算机则被锁。