Virus.Win32.FunLove.3662

Технические детали

Неопасный резидентный Win32-вирус. Заражает PE EXE-файлы (выполняемые файлы Windows) на локальных и сетевых дисках. Благодаря своей способности размножаться по сети вирус в состоянии заразить всю локальную сеть с одной рабочей станции, если ей предоставлены права записи на сетевые диски.

Файлы, зараженные вирусом Win32.FLC, можно легко распознать по строке, содержащейся в его теле:

~Fun Loving Criminal~

При запуске зараженного файла вирус создает в системном каталоге Windows файл FLCSS.EXE ("дроппер"), в который записывает свой "чистый" код и затем запускает его на выполнение. "Дроппер" вируса является обычным файлом формата Win32 PE. Под операционными системами Windows 95 и Windows 98 он запускается в качестве скрытого (hidden) Windows приложения, а под Windows NT - как сервис. После этого активизируется процедура заражения системы.

В случае возникновения ошибки в процессе создания "дроппера" для заражения системы, вирус все равно запускает эту процедуру заражения, но уже непосредственно из своего тела в зараженном файле, а не через "дроппер". Процесс поиска и заражения файлов происходит в фоновом режиме (thread), в результате чего зараженные файлы выполняются без заметных задержек.

В процессе заражения системы вирус сканирует все локальные диски от C: до Z:, затем просматривает дерево подкаталогов сетевых ресурсов и заражает все PE-файлы с расширениями .OCX, .SCR и .EXE. Вирус записывает свой код в последнюю секцию файла и добавляет в стартовый адрес файла инструкцию "JumpVirus". Данная инструкция обеспечивает запуск вируса из последней секции файла перед выполнением самой программы.

Вирус проверяет имена файлов и не заражает файлы по следующим маскам: ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.

Вирус имеет черты семейства вирусов "Bolzano". Он изменяет файлы NTLDR и WINNT\System32\ntoskrnl.exe тем же самым способом, что и вирус "Bolzano". Измененные файлы следует восстановить из резервной копии.