FunLove查杀技巧：如何彻底杀掉"Win32.Funlove"病毒？

　　FUNLOVE(Win32.funlove)病毒档案

　　警惕程度：★★★★

　　发作时间：随机

　　病毒类型：系统病毒

　　传播途径：系统文件

　　依赖

　　系统: WINDOWS 2000/XP

　　病毒介绍：

　　FunLove是驻留内存的Win32 病毒，它感染本地和网络中的PE EXE文件。当染毒的文件被运行时，该病毒将在Windows system目录下创建FLCSS.EXE文件，在其中只写入纯代码部分，并运行这个生成的文件。这个文件就变成病毒“点滴器”(“dropper”)——在WIN 9X系统中，它(“点滴器”)将由被作为隐含的Windows 应用程序启动，而WIN NT 中将被作为一个服务启动。

　　传染模块将扫描本地从 C: to Z:的所有驱动器，然后搜索网络资源，扫描网络中的子目录树并感染具有.OCX, .SCR和.EXE扩展名的PE文件。当感染一个文件时，该病毒将其代码写到那个文件的尾部——文件的最后部分并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活，病毒将首先恢复这8字节的代码然后运行它的主程序。

　　病毒在感染的时候检查文件名，它不感染以下列4个字母开始的文件：ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA，这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe文件。被修补的文件不可以恢复只能通过备份来恢复。

　　它包含下列文本：

　　acerun: yes"> ~Fun Loving Criminal~

　　病毒的发现与清除：

　　1. 该病毒会在Windows system目录下创建名为：FLCSS.EXE的文件。

　　2. 该病毒感染文件时会在文件体内写入：“~Fun Loving Criminal~”这样的字符串，用户可以用全文搜索的方法来查找一个可执行文件体内是否有这样的字符串。

　　3. 该病毒会在网络中大量泛滥，造成网络中的计算机运行变慢。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了FUNLOVE(Win32.Funlove)病毒。为避免用户遭受损失，瑞星公司已于截获该病毒当天就进行了升级，瑞星杀毒软件2003版、瑞星在线杀毒、瑞星杀毒软件“下载版”，这三款产品每周三次同步升级，15.48.01版已可清除此病毒，目前瑞星用户只需及时升级手中的软件即可彻底拦截此病毒。