簡介
發現: 1999 年 11 月 8 日
更新: 2007 年 2 月 13 日 11:34:34 AM
別名: Win32.funlove.4070 【KAV】, W32/FunLove.gen 【McAfee】, PE_FUNLOVE.4099 【Trend】, W32/Flcss 【Sophos】, Win32.Funlove.4099 【CA】
類型: Virus
感染長度: 4,099 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
W32.FunLove.4099 在 Windows 95/98/Me 和 Windows NT 下複製。它感染具有 .exe、.scr 和 .ocx 擴展名的程式。值得一提的是,該病毒使用新策略來攻擊 Windows NT 檔案安全系統,並且作為 Windows NT 系統上的一個服務運行。
在大多數情況下,Norton AntiVirus (nav) 可以修復受 W32.FunLove.4099 感染的檔案:
* 2000 年 10 月 10 日之前的病毒定義通過將 4099 位元組的病毒代碼更改為零來進行此項操作。因此,修復後的檔案比感染之前長 4099 位元組。
* 2000 年 10 月 10 日或之後的病毒定義可以對感染了 W32.FunLove.4099 的檔案接種疫苗,防止其再次受到感染。FunLove 在試圖感染某個檔案之前,會首先檢查該檔案是否已感染了 FunLove。(這是許多病毒常用的步驟。病毒使用某種算法來確定檔案是否受到感染。)算法是將檔案大小除以 256。如果餘數為 3,則病毒假定該檔案已受到感染,而不再感染該檔案。
如果是使用 2000 年 10 月 10 日或之後的病毒定義檢測到 FunLove,則會從檔案中刪除病毒代碼。為確保該檔案不會再次受到感染,NAV 會在該檔案的末尾添加額外位元組,以便當 FunLove 再次訪問該檔案時,該病毒會假定該檔案已受到感染而不會再次感染它。
DEC Alpha 計算機
W32.Funlove.4099 通常無法感染 Alpha 計算機上的檔案,但有一個例外,即這些檔案可以被 Wintel 計算機訪問,並且該計算機將受感染的檔案放入 Alpha 計算機中。要清除 Alpha 平台上的受感染檔案,應先將該計算機與網路隔離,然後運行按需掃描。
防護
* 病毒定義(智慧型更新程式) 1999 年 11 月 11 日
威脅評估
廣度
* 廣度級別: Medium
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Medium
* 有效負載觸發器: Infectious File is executed and flcss.exe is dropped and run as a regular process in C:\Windows\System.
* 修改檔案: Win32 files with .exe, .scr, or .ocx extensions.
* 降低性能: Corrupts Windows Applications.
* 導致系統不穩定: Causes degradation in system performance and sometimes crash.
分發
* 分發級別: High
* 共享驅動器: Runs as an NT service and can spread on the local drives.
* 感染目標: Win32 Files with .exe, .scr, or .ocx extensions.
FunLove 的工作原理
感染了 W32.FunLove.4099 的檔案會將 Flcss.exe 檔案插入 \Windows\System (Windows 95/98/Me) 或 \Winnt\System32 (Windows NT) 資料夾中。只要可以創建 4,608 位元組的 Flcss.exe 檔案,該病毒就會嘗試在運行 Windows NT 的計算機上將其作為服務執行。如果由於某些原因無法執行該服務,病毒會在受感染的程式內創建一個執行緒。該執行緒通過搜尋擴展名為 .exe、.scr 或 .ocx 的可移植的可執行 (PE) 檔案來感染本地和網路驅動器。然後,該執行緒在受感染的進程內執行,而由該程式的主執行緒取得控制權。在大多數情況下,這不會造成明顯的延遲。當該病毒可將自身作為名為“FLC”的一個服務進程執行時,其他受感染的程式會嘗試插入 Flcss.exe 檔案,但不會創建一個新的感染執行緒。W32.FunLove.4099 是第二個作為 Windows NT 上的服務運行的病毒。.
WNT.RemEx.A 病毒在功能上與 W32.FunLove.4099 非常相似,但 W32.FunLove.4099 可以在 Windows 95/98 和 Windows NT 上運行。因此,它被認為比 WNT.RemEx.A 更成功。當該病毒作為服務運行時,即使沒有用戶登錄,也可以在本地驅動器上進行傳播。因此,該病毒可以感染那些登錄後通常無法訪問的檔案。例如,該病毒可以感染 Windows NT 上的 Explorer.exe 。
在 Windows 95/98 計算機上,受感染的程式會將 Flcss.exe 檔案放入 \System 資料夾中,並嘗試將其作為常規進程執行。如果該進程無法執行,則病毒會嘗試在受感染的主機程式內執行感染執行緒。
該病毒還會攻擊 Windows NT 檔案安全系統。嘗試攻擊的病毒在初始滲透過程中需要 Windows NT Server 或 Windows NT Workstation 中的管理員許可權。一旦管理員或具有同等許可權的用戶登錄,W32.FunLove.4099 就有機會修改位於 \Winnt\System32 資料夾中的 Windows NT 核心檔案 ntoskrnl.exe。該病毒只修改名為 SeAccessCheck 的安全 API 中的兩個位元組。然後,在計算機使用經過修改的核心檔案啟動時,該病毒就可以將所有檔案的完全訪問許可權授予所有用戶,而無論檔案原來具有多么嚴密的防護措施。這意味著即使那些只在系統上具有最低許可權的來賓也可以閱讀和修改所有檔案,包括那些通常只能由管理員訪問的檔案。這是潛在的隱患,因為病毒可以超越特定計算機上的實際訪問限制到處傳播。而且,在遭到攻擊後,所有數據都有被其他用戶修改的可能。
遺憾的是,Ntoskrnl.exe 的一致性只在啟動過程中檢查一次。載入程式 Ntldr 會在 Ntoskrnl.exe 於啟動過程中載入到物理記憶體時對其進行檢查。如果核心檔案損壞,Ntldr 可能停止載入 Ntoskrnl.exe 並顯示錯誤訊息,從而可能根本不顯示“藍屏”。為避免發生這種情況,W32.FunLove.4099 修補 Ntldr 使不出現錯誤訊息,並使 Windows NT 成功啟動,即使其校驗和與原來的不匹配。由於沒有代碼檢查 Ntldr 自身的一致性,因此經過修補的核心檔案會得以載入,而不會通知用戶。由於 Ntldr 是隱藏的唯讀系統檔案,W32.FunLove.4099 會將它的屬性更改為“歸檔”後再嘗試對它進行修補。該病毒在完成修補後,不會將 Ntldr 的屬性重新更改為原來的值。FunLove 還會感染本地和網路驅動器。它枚舉映射的網路驅動器並感染這些計算機上的 PE 檔案。此外,Ntoskrnl.exe 和 Ntldr 修補在網路驅動器上執行。只要具有足夠許可權的計算機映射運行 Windows NT 的計算機的系統驅動器,病毒就可以通過網路修改核心檔案和載入程式組件。
Ntoskrnl.exe 和 Ntldr 修補由從 Bolzano 病毒挑選的例程執行。實際上,該病毒 50% 以上的代碼都與 Bolzano 病毒有相似之處。這兩個病毒很有可能出自同一個人之手。
FunLove 如何定位系統上的映射驅動器
FunLove 利用名為 WNetEnumResourceA 的 Windows 函式。有關該函式的詳細信息可以在 Microsoft Developer Network 文檔中找到。
是否無需將 Flcss.exe 實際複製到系統,Ntoskrnl.exe 即可通過網路受到感染?
該蠕蟲會感染其通過調用 WNetEnumResourceA 而找到的每個網路驅動器。只要驅動器可寫入,即使不將 Flcss.exe 放入系統,FunLove 也會通過網路修改 Ntoskrnl.exe。FunLove 實際並不感染 Ntoskrnl.exe,但它會更改該檔案的安全功能。一旦受感染的計算機重新啟動,就會載入經過修改的 Ntoskrnl.exe 和 Ntldr,從而危及到安全。
不受感染的檔案
該病毒不感染檔案名稱以下列字元開頭的檔案:
aler
amon
avp
avp3
avpm
f-pr
navw
scan
smss
ddhe
dpla
mpla
以上是防病毒程式及其他少數程式的部分檔案名稱。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
殺除 W32.FunLove.4099 病毒的步驟取決於您的作業系統。
Windows 95/98/Me 用戶
如果您運行的是 Windows 95/98/Me,Symantec 安全回響中心已提供了免費的防毒工具。可以在這裡獲得該工具及其使用指導。
如果您想要手動殺除感染,請參閱以下部分的指導。
刪除 W32.FunLove.4099 病毒在硬碟上放入的 Flcss.exe 檔案:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 運行完整的系統掃描。確保掃描所有硬碟且 NAV 設定為掃描所有檔案。如果 NAV 檢測到病毒並提示您選擇操作,則單擊“隔離”。
3. 單擊“開始”,指向“查找”,再單擊“檔案或資料夾”。“查找所有檔案”對話框出現。
4. 確認“搜尋”指定的是安裝 Windows 的驅動器。
5. 在“名稱”框中,鍵入 flcss.exe,然後單擊“開始查找”。
6. 如果找到該檔案,則用滑鼠右鍵單擊結果窗格中的 Flcss.exe 檔案。按 Delete 鍵,然後單擊“是”確認刪除。
7. 關閉“查找所有檔案”對話框。
注意
* 如果繼續遭到 W32.FunLove.4099 病毒的再次感染,則必須以安全模式重新啟動 Windows 以殺除該病毒。請根據您 Windows 的版本執行下面相應的操作。
o Windows 95
1. 單擊“開始”,然後單擊“關閉系統”。“關閉 Windows”對話框出現。
2. 單擊“重新啟動計算機”,然後單擊“是”。
3. 當出現訊息“正在啟動 Windows 95”時,按 F8 鍵。
4. 鍵入安全模式對應的數字,然後按 Enter 鍵。
5. 運行完整的系統掃描。確保掃描所有硬碟並且 NAV 設定為掃描所有檔案。
6. 重複上一部分中的步驟 3 到步驟 7,找到並刪除 Flcss.exe 檔案。
o Windows 98
1. 單擊“開始”,然後單擊“關閉系統”。“關閉 Windows”對話框出現。
2. 單擊“重新啟動計算機”,然後單擊“是”。
3. 立即按住 Ctrl 鍵。
4. 鍵入安全模式對應的數字,然後按 Enter 鍵。
5. 運行完整的系統掃描。確保掃描所有硬碟且 NAV 設定為掃描所有檔案。
6. 重複上一部分中的步驟 3 到步驟 7,找到並刪除 Flcss.exe 檔案。
o 如果 NAV 檢測到 Flcss.exe 檔案並將其放入 Quarantine 資料夾,則可以將其保留在那裡防止其運行,或者將其刪除。要從隔離區刪除檔案,請根據您 NAV 的版本執行下面相應的操作:
+ NAV 5.0
1. 啟動 NAV,然後單擊“隔離”。
2. 在“隔離區”視窗的右窗格中,單擊要刪除的檔案,然後單擊“刪除項目”。
3. 關閉“隔離區”視窗。
+ NAV 2000
1. 啟動 NAV,然後單擊“報告”。
2. 雙擊“在隔離區中查看並管理內容”。
3. 在“隔離區”視窗的右窗格中,單擊要刪除的檔案,然後單擊“刪除項目”。
4. 關閉“隔離區”視窗。
o 該病毒可以感染 .exe 檔案。如果它感染了 Windows 程式檔案,如 Explorer.exe,則 Windows 可能不再運行。如果發生這種情況,必須替換該 .exe 檔案。有關如何進行此操作的信息,請參閱 Windows 文檔。
Windows NT 用戶
如果您運行的是 Windows NT,Symantec 安全回響中心已提供了免費的防毒工具。可以在這裡獲得該工具及其使用指導。
如果計算機再次受到感染
有幾例報告指出在執行上述操作後計算機又再次受到感染。在這種情況下,必須使用緊急啟動盤殺除病毒。請按下列步驟執行該操作:
1. 單擊“開始”,並單擊“關閉系統”。單擊“關閉計算機”,然後單擊“確定”。
2. 出現提示時,關閉計算機。必須通過關閉計算機電源來清除記憶體,而不能只按重置按鈕。至少等待 30 秒鐘。
3. 將緊急啟動盤插入驅動器 A,然後打開計算機。
4. 出現提示時按任意鍵,然後按照螢幕提示(根據所使用的緊急啟動盤的不同而不同)執行操作:
* Norton System Works 緊急啟動盤。
1. 選擇 Norton AntiVirus。
2. 在螢幕底部查找以下文本行:
navdx c:\ m+ /b+ /repair /cfg:a:\
3. 用下列行替換該行,然後按 Enter 鍵:
navdx c: /doallfiles /repair
4. 等待該過程完成,然後取出磁碟並重新啟動計算機。
* Norton AntiVirus 緊急啟動盤。
1. 按 Ctrl+C。
2. 鍵入下列內容,然後按 Enter 鍵:
navdx c: /doallfiles /repair
3. 等待該過程完成,然後取出磁碟並重新啟動計算機。
注意:有幾例報告指出由於將 Explorer.exe 和 Flcss.exe 檔案添加到 NAV 排除列表中而繼續發生再次感染的情況。若要就這種情況進行檢查,請執行下列操作:
1. 啟動 NAV,然後單擊“選項”。
2. 單擊“排除”。
3. 在列表中查找 Explorer.exe 和 Flcss.exe 等檔案。該列表中的所有檔案都不會受到 NAV 的掃描。
4. 選擇找到的檔案,然後單擊“刪除”。(不要刪除 *.vi? 條目。)
5. 單擊“確定”,然後退出 NAV。
描述者: Peter Szor
