Virus W32.FunLove.4099

FunLove je středně nebezpečný rezidentní parazitický virus napadající spustitelné PE soubory EXE, SCR a OCX na lokálních i síťových discích pod Windows 9x a NT 4.0.
FunLove je středně nebezpečný rezidentní parazitický virus napadající spustitelné PE soubory EXE, SCR a OCX na lokálních i síťových discích pod Windows 9x a NT 4.0. Virus infikuje soubor celkem standardním způsobem: zapíše se do poslední PE sekce a poté přepíše prvních osm bajtů na začátku programu, kam umístí odskok na svůj kód. Pod Windows 9x se velikost napadeného souboru zvětší o 4099 bajtů, pod Windows NT může velikost souboru vzrůst ještě více.

Když je virus aktivován poprvé, umístí do systémové složky Windows soubor FLCSS.EXE. Tento program je pak spuštěn jako skrytý proces a je vlastně rezidentní částí viru FunLove. Následně jsou infikovány všechny soubory s příponou EXE, SCR a OCX na discích C: až Z:. Protože je napaden i program Explorer.exe, spustí se virus automaticky při každém startu nebo restartu Windows. FunLove neinfikuje soubory začínající ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA* (tak zpravidla začínají názvy významných antivirových programů).

W32.FunLove využívá rutinu pod Windows NT vykradenou z W32.Bolzano, která zpřístupní všem uživatelům administrátorská práva, což je patrně nejnebezpečnější efekt tohoto viru. To viru umožňuje získat neomezený přístup ke všem souborům.

Po dokončení celého procesu pak FunLove pravidelně kontroluje všechny sdílené disky s povoleným zápisem a průběžně infikuje všechny spustitelné soubory.

Pokud pod DOSem spustíte soubor FLCSS.EXE, zobrazí se text ~Fun Loving Criminal~ (tento text je viditelný v těle každého infikovaného souboru) a počítač se zrestartuje zpět do Windows.

Protože virus infikuje soubory OCX, je možné zavirovat systém z Internetu. Stačí navštívit stránku s vloženým ActiveX a povolit jeho download a spuštění. Z tohoto důvodu je doporučeno nastavit nejvyšší bezpečnost browseru, nebo ActiveX úplně zakázat.

Doplnění článku: Zpráva, převzatá z Mc Afee, se ukázala jako ne zcela přesná. Konkrétně se jedná o účinky tohoto viru pod operačním systémem Windows NT, kdy Mc Afee uvádí:

Under Windows NT, the virus uses a routine 'lifted' from the W32/Bolzano virus to patch the files NTOSKRNL.EXE and NTLDR if the current user is logged in with administrator rights. This patch, which is activated after the next system restart, allows all users full administrator rights to the system. This allows the virus (and any low-level users) full, unrestricted access to all the files on the system.

Tedy "Pod Windows NT virus používá rutinu vytaženou z W32.Bolzano, která upraví soubory NTOSKRNL.EXE a NTLDR v případě, že právě přihlášený uživatel má administrátorská práva. Tato úprava, která je aktivována při dalším restartu systému, zpřístupňuje všem uživatelům administrátorská práva k systému. To znamená, že každý virus (a každý uživatel) získá plný, neomezený přístup ke všem souborům v systému".

Z informací ostatních antivirových společností, které přinesly zprávu o W32.Funlove o něco později, ale vyplývá, že tento virus napadá pouze bezpečnostní systém přístupu k souborům a přepisuje jádro systému, tedy nezpřístupňuje plná administrátorská práva, jak jsme uvedli ve zmíněném článku.

Pokud tedy virus W32.FunLove infikuje systém v okamžiku, kdy na něm pracuje uživatel s administrátorskými právy, získají všichni ostatní uživatelé (včetně těch s nejmenšími právy) plný přístup ke všem souborům, bez ohledu na jejich bezpečnostní nastavení - mohou je číst, mazat nebo modifikovat.

Virus je tedy o něco méně nebezpečný, než se původně zdálo, nicméně stále byste před ním měli být na pozoru. V případě infikování počítače totiž není zrovna jednoduché jej odstranit a uvést vše do původního stavu. Také riziko zásahu nepoučených uživatelů do systémových souborů Windows NT může administrátorům přinést perné chvilky.

Diskuze (5) Další článek: Baan se vrací na scénu

Témata článku: Windows, Bezpečnost, Restart, Významná složka, Virus, Program Files, Spustitelný soubor, Fun, Under, Neomezený přístup



Europa má slabou atmosféru z vodní páry. Zajímavé je, že jen nad jednou polokoulí

Europa má slabou atmosféru z vodní páry. Zajímavé je, že jen nad jednou polokoulí

** Astronomové objevili v okolí Europy vodní páru ** Atmosféra se nachází jen nad jednou polokoulí ** Vodní pára se do atmosféry dostává sublimací z povrchového ledu

Petr Kubala
AtmosféraAstronomie
Hity na cestě. Jaké hry si zahrajete v prosinci 2021: Halo Infinite, Solar Ash a další

Hity na cestě. Jaké hry si zahrajete v prosinci 2021: Halo Infinite, Solar Ash a další

Na závěr roku letos moc velkých pecek nemáme. Čeká nás pořádně nabitý závěr zimy a začátek jara a v mezičase můžete dát šanci některým z menších kousků.

Martin Nahodil
Agenda
Nad 3,5mm jackem se smráká. Sluchátkový konektor příští rok nejspíš zmizí i z levných telefonů

Nad 3,5mm jackem se smráká. Sluchátkový konektor příští rok nejspíš zmizí i z levných telefonů

** Před pár lety byl 3,5mm konektor nepsaným základem každého telefonu ** Od premiéry iPhonu 7 to však jde s jackem strmě z kopce ** U drahých telefonů chybí úplně a začíná mizet i z modelů střední třídy

Martin Chroust
Střední třída3,5mm jack
Jak ovládnout procesy ve Windows 10 a odemknout zablokovaný soubor?

Jak ovládnout procesy ve Windows 10 a odemknout zablokovaný soubor?

V každém operačním systému běží celá řada procesů a služeb. Ukážeme vám, jak plně získat pod kontrolu jejich běh.

Karel Kilián
Windows 10TipySoftware
Nová volitelná aktualizace systému Windows 10 opravuje 38 problémů
Karel Kilián
Windows UpdateAktualizaceWindows 10
Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost

Recenze Windows 11. Microsoft nás opíjí rohlíkem a omezuje použitelnost

** Oproti Desítkám významně stouply hardwarové požadavky ** Windows 11 mají nový vzhled, ale výrazně narušují workflow. ** Potěší vyhledávání, multitasking i rychlejší aktualizace

Petr Urban
Windows 11Testy