词条 | W32.Funlove.4099 |
释义 | W32.FunLove.4099 在 Windows 95/98/Me 和 Windows NT 下复制。它感染具有 .exe、.scr 和 .ocx 扩展名的程序。值得一提的是,该病毒使用新策略来攻击 Windows NT 文件安全系统,并且作为 Windows NT 系统上的一个服务运行。 病毒资料发现: 1999 年 11 月 8 日 更新: 2007 年 2 月 13 日 11:34:34 AM 别名: Win32.FunLove.4070 [KAV], W32/FunLove.gen [McAfee], PE_FUNLOVE.4099 [Trend], W32/Flcss [Sophos], Win32.Funlove.4099 [CA] 类型: Virus 感染长度: 4,099 bytes 受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 简介在大多数情况下,Norton AntiVirus (NAV) 可以修复受 W32.FunLove.4099 感染的文件: * 2000 年 10 月 10 日之前的病毒定义通过将 4099 字节的病毒代码更改为零来进行此项操作。因此,修复后的文件比感染之前长 4099 字节。 * 2000 年 10 月 10 日或之后的病毒定义可以对感染了 W32.FunLove.4099 的文件接种疫苗,防止其再次受到感染。FunLove 在试图感染某个文件之前,会首先检查该文件是否已感染了 FunLove。(这是许多病毒常用的步骤。病毒使用某种算法来确定文件是否受到感染。)算法是将文件大小除以 256。如果余数为 3,则病毒假定该文件已受到感染,而不再感染该文件。 如果是使用 2000 年 10 月 10 日或之后的病毒定义检测到 FunLove,则会从文件中删除病毒代码。为确保该文件不会再次受到感染,NAV 会在该文件的末尾添加额外字节,以便当 FunLove 再次访问该文件时,该病毒会假定该文件已受到感染而不会再次感染它。 DEC Alpha 计算机W32.Funlove.4099 通常无法感染 Alpha 计算机上的文件,但有一个例外,即这些文件可以被 Wintel 计算机访问,并且该计算机将受感染的文件放入 Alpha 计算机中。要清除 Alpha 平台上的受感染文件,应先将该计算机与网络隔离,然后运行按需扫描。 防护* 病毒定义(智能更新程序) 1999 年 11 月 11 日 威胁评估广度* 广度级别: Medium * 感染数量: More than 1000 * 站点数量: More than 10 * 地理位置分布: High * 威胁抑制: Moderate * 清除: Moderate 损坏* 损坏级别: Medium * 有效负载触发器: Infectious File is executed and flcss.exe is dropped and run as a regular process in C:\\Windows\\System. * 修改文件: Win32 files with .exe, .scr, or .ocx extensions. * 降低性能: Corrupts Windows Applications. * 导致系统不稳定: Causes degradation in system performance and sometimes crash. 分发* 分发级别: High * 共享驱动器: Runs as an NT service and can spread on the local drives. * 感染目标: Win32 Files with .exe, .scr, or .ocx extensions. FunLove 的工作原理感染了 W32.FunLove.4099 的文件会将 Flcss.exe 文件插入 \\Windows\\System (Windows 95/98/Me) 或 \\Winnt\\System32 (Windows NT) 文件夹中。只要可以创建 4,608 字节的 Flcss.exe 文件,该病毒就会尝试在运行 Windows NT 的计算机上将其作为服务执行。如果由于某些原因无法执行该服务,病毒会在受感染的程序内创建一个线程。该线程通过搜索扩展名为 .exe、.scr 或 .ocx 的可移植的可执行 (PE) 文件来感染本地和网络驱动器。然后,该线程在受感染的进程内执行,而由该程序的主线程取得控制权。在大多数情况下,这不会造成明显的延迟。当该病毒可将自身作为名为“FLC”的一个服务进程执行时,其他受感染的程序会尝试插入 Flcss.exe 文件,但不会创建一个新的感染线程。W32.FunLove.4099 是第二个作为 Windows NT 上的服务运行的病毒。. WNT.RemEx.A 病毒在功能上与 W32.FunLove.4099 非常相似,但 W32.FunLove.4099 可以在 Windows 95/98 和 Windows NT 上运行。因此,它被认为比 WNT.RemEx.A 更成功。当该病毒作为服务运行时,即使没有用户登录,也可以在本地驱动器上进行传播。因此,该病毒可以感染那些登录后通常无法访问的文件。例如,该病毒可以感染 Windows NT 上的 Explorer.exe 。 在 Windows 95/98 计算机上,受感染的程序会将 Flcss.exe 文件放入 \\System 文件夹中,并尝试将其作为常规进程执行。如果该进程无法执行,则病毒会尝试在受感染的主机程序内执行感染线程。 该病毒还会攻击 Windows NT 文件安全系统。尝试攻击的病毒在初始渗透过程中需要 Windows NT Server 或 Windows NT Workstation 中的管理员权限。一旦管理员或具有同等权限的用户登录,W32.FunLove.4099 就有机会修改位于 \\Winnt\\System32 文件夹中的 Windows NT 核心文件 Ntoskrnl.exe。该病毒只修改名为 SeAccessCheck 的安全 API 中的两个字节。然后,在计算机使用经过修改的核心文件启动时,该病毒就可以将所有文件的完全访问权限授予所有用户,而无论文件原来具有多么严密的防护措施。这意味着即使那些只在系统上具有最低权限的来宾也可以阅读和修改所有文件,包括那些通常只能由管理员访问的文件。这是潜在的隐患,因为病毒可以超越特定计算机上的实际访问限制到处传播。而且,在遭到攻击后,所有数据都有被其他用户修改的可能。 遗憾的是,Ntoskrnl.exe 的一致性只在启动过程中检查一次。加载程序 Ntldr 会在 Ntoskrnl.exe 于启动过程中加载到物理内存时对其进行检查。如果核心文件损坏,Ntldr 可能停止加载 Ntoskrnl.exe 并显示错误消息,从而可能根本不显示“蓝屏”。为避免发生这种情况,W32.FunLove.4099 修补 Ntldr 使不出现错误消息,并使 Windows NT 成功启动,即使其校验和与原来的不匹配。由于没有代码检查 Ntldr 自身的一致性,因此经过修补的核心文件会得以加载,而不会通知用户。由于 Ntldr 是隐藏的只读系统文件,W32.FunLove.4099 会将它的属性更改为“归档”后再尝试对它进行修补。该病毒在完成修补后,不会将 Ntldr 的属性重新更改为原来的值。FunLove 还会感染本地和网络驱动器。它枚举映射的网络驱动器并感染这些计算机上的 PE 文件。此外,Ntoskrnl.exe 和 Ntldr 修补在网络驱动器上执行。只要具有足够权限的计算机映射运行 Windows NT 的计算机的系统驱动器,病毒就可以通过网络修改核心文件和加载程序组件。 Ntoskrnl.exe 和 Ntldr 修补由从 Bolzano 病毒挑选的例程执行。实际上,该病毒 50% 以上的代码都与 Bolzano 病毒有相似之处。这两个病毒很有可能出自同一个人之手。 FunLove 如何定位系统上的映射驱动器FunLove 利用名为 WNetEnumResourceA 的 Windows 函数。有关该函数的详细信息可以在 Microsoft Developer Network 文档中找到。 是否无需将 Flcss.exe 实际复制到系统,Ntoskrnl.exe 即可通过网络受到感染? 该蠕虫会感染其通过调用 WNetEnumResourceA 而找到的每个网络驱动器。只要驱动器可写入,即使不将 Flcss.exe 放入系统,FunLove 也会通过网络修改 Ntoskrnl.exe。FunLove 实际并不感染 Ntoskrnl.exe,但它会更改该文件的安全功能。一旦受感染的计算机重新启动,就会加载经过修改的 Ntoskrnl.exe 和 Ntldr,从而危及到安全。 不受感染的文件该病毒不感染文件名以下列字符开头的文件: aler amon avp avp3 avpm f-pr navw scan smss ddhe dpla mpla 以上是防病毒程序及其他少数程序的部分文件名。 建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”: * 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。 * 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。 * 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。 杀除 W32.FunLove.4099 病毒的步骤取决于您的操作系统。 Windows 95/98/Me 用户如果您运行的是 Windows 95/98/Me,Symantec 安全响应中心已提供了免费的杀毒工具。可以在这里获得该工具及其使用指导。 如果您想要手动杀除感染,请参阅以下部分的指导。 删除 W32.FunLove.4099 病毒在硬盘上放入的 Flcss.exe 文件: 1. 运行 LiveUpdate,确保您的病毒定义是最新的。 2. 运行完整的系统扫描。确保扫描所有硬盘且 NAV 设置为扫描所有文件。如果 NAV 检测到病毒并提示您选择操作,则单击“隔离”。 3. 单击“开始”,指向“查找”,再单击“文件或文件夹”。“查找所有文件”对话框出现。 4. 确认“搜索”指定的是安装 Windows 的驱动器。 5. 在“名称”框中,键入 flcss.exe,然后单击“开始查找”。 6. 如果找到该文件,则用鼠标右键单击结果窗格中的 Flcss.exe 文件。按 Delete 键,然后单击“是”确认删除。 7. 关闭“查找所有文件”对话框。 注意* 如果继续遭到 W32.FunLove.4099 病毒的再次感染,则必须以安全模式重新启动 Windows 以杀除该病毒。请根据您 Windows 的版本执行下面相应的操作。 Windows 951. 单击“开始”,然后单击“关闭系统”。“关闭 Windows”对话框出现。 2. 单击“重新启动计算机”,然后单击“是”。 3. 当出现消息“正在启动 Windows 95”时,按 F8 键。 4. 键入安全模式对应的数字,然后按 Enter 键。 5. 运行完整的系统扫描。确保扫描所有硬盘并且 NAV 设置为扫描所有文件。 6. 重复上一部分中的步骤 3 到步骤 7,找到并删除 Flcss.exe 文件。 Windows 981. 单击“开始”,然后单击“关闭系统”。“关闭 Windows”对话框出现。 2. 单击“重新启动计算机”,然后单击“是”。 3. 立即按住 Ctrl 键。 4. 键入安全模式对应的数字,然后按 Enter 键。 5. 运行完整的系统扫描。确保扫描所有硬盘且 NAV 设置为扫描所有文件。 6. 重复上一部分中的步骤 3 到步骤 7,找到并删除 Flcss.exe 文件。 o 如果 NAV 检测到 Flcss.exe 文件并将其放入 Quarantine 文件夹,则可以将其保留在那里防止其运行,或者将其删除。要从隔离区删除文件,请根据您 NAV 的版本执行下面相应的操作: + NAV 5.0 1. 启动 NAV,然后单击“隔离”。 2. 在“隔离区”窗口的右窗格中,单击要删除的文件,然后单击“删除项目”。 3. 关闭“隔离区”窗口。 + NAV 2000 1. 启动 NAV,然后单击“报告”。 2. 双击“在隔离区中查看并管理内容”。 3. 在“隔离区”窗口的右窗格中,单击要删除的文件,然后单击“删除项目”。 4. 关闭“隔离区”窗口。 o 该病毒可以感染 .exe 文件。如果它感染了 Windows 程序文件,如 Explorer.exe,则 Windows 可能不再运行。如果发生这种情况,必须替换该 .exe 文件。有关如何进行此操作的信息,请参阅 Windows 文档。 Windows NT 用户如果您运行的是 Windows NT,Symantec 安全响应中心已提供了免费的杀毒工具。可以在这里获得该工具及其使用指导。 如果计算机再次受到感染 有几例报告指出在执行上述操作后计算机又再次受到感染。在这种情况下,必须使用紧急启动盘杀除病毒。请按下列步骤执行该操作: 1. 单击“开始”,并单击“关闭系统”。单击“关闭计算机”,然后单击“确定”。 2. 出现提示时,关闭计算机。必须通过关闭计算机电源来清除内存,而不能只按重置按钮。至少等待 30 秒钟。 3. 将紧急启动盘插入驱动器 A,然后打开计算机。 4. 出现提示时按任意键,然后按照屏幕提示(根据所使用的紧急启动盘的不同而不同)执行操作: * Norton System Works 紧急启动盘。 1. 选择 Norton AntiVirus。 2. 在屏幕底部查找以下文本行: navdx c:\\ m+ /b+ /repair /cfg:a:\\ 3. 用下列行替换该行,然后按 Enter 键: navdx c: /doallfiles /repair 4. 等待该过程完成,然后取出磁盘并重新启动计算机。 * Norton AntiVirus 紧急启动盘。 1. 按 Ctrl+C。 2. 键入下列内容,然后按 Enter 键: navdx c: /doallfiles /repair 3. 等待该过程完成,然后取出磁盘并重新启动计算机。 注意:有几例报告指出由于将 Explorer.exe 和 Flcss.exe 文件添加到 NAV 排除列表中而继续发生再次感染的情况。若要就这种情况进行检查,请执行下列操作: 1. 启动 NAV,然后单击“选项”。 2. 单击“排除”。 3. 在列表中查找 Explorer.exe 和 Flcss.exe 等文件。该列表中的所有文件都不会受到 NAV 的扫描。 4. 选择找到的文件,然后单击“删除”。(不要删除 *.vi? 条目。) 5. 单击“确定”,然后退出 NAV。 描述者: Peter Szor |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。