«Лаборатория Касперского» о новом вирусе Win32.FunLove

Предлагаем вашему вниманию подробное описание этого вируса от известного российского разработчика антивирусных систем безопасности компании «Лаборатория Касперского».

Вирус Win32.FunLove обнаружен в «диком виде» (In-the-Wild), т.е. для компьютерных пользователей существует реальная опасность заражения данным вирусом.

Win32.FunLove является неопасным резидентным паразитическим Win32 вирусом. Он заражает PE (Portable Executable) файлы на локальных и сетевых дисках. Благодаря своей способности размножаться по локальной сети вирус может заразить всю корпоративную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски.

Файлы, зараженные вирусом Win32.FunLove, можно легко распознать по строке (название популярной западной рок-группы), содержащейся в его теле: «Fun Loving Criminal».

После запуска зараженного файла, вирус создает в системной директории Windows файл FLCSS.EXE («Дроппер»), в который записывает свой «чистый» код, и затем запускает его на выполнение. «Дроппер» вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT — как сервис. После этого активизируется процедура заражения системы.

В случае возникновения ошибки в процессе создания «дроппера» для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела, а не через «дроппер». Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего уже зараженные файлы выполняются без заметных задержек.

В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево директорий сетевых ресурсов и заражает все PE файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла (увеличивая тем самым размер файла на 4099 байтов) и добавляет в стартовый адрес инструкцию «JumpVirus». Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Вирус имеет черты семейства вирусов «Bolzano». Он изменяет файлы NTLDR и WINNTSystem32ntoskrnl.exe тем же самым способом, что и вирус «Bolzano». Измененные файлы можно восстановить из резервной копии.

Процедуры обнаружения и удаления вируса Win32.FunLove содержатся во внеочередном обновлении антивирусных баз AntiViral Toolkit Pro (AVP) и доступны на сайте «Лаборатории Касперского».