Virový maják č. 22: W32.FunLove.4099 zpřístupní administrátorská práva všem!
FunLove je středně nebezpečný rezidentní parazitický virus napadající spustitelné PE soubory EXE, SCR a OCX na lokálních i síťových discích pod Windows 9x a NT 4.0. Virus infikuje soubor celkem standardním způsobem: zapíše se do poslední PE sekce a poté přepíše prvních osm bajtů na začátku programu, kam umístí odskok na svůj kód. Pod Windows 9x se velikost napadeného souboru zvětší o 4099 bajtů, pod Windows NT může velikost souboru vzrůst ještě více.
Když je virus aktivován poprvé, umístí do systémové složky Windows soubor FLCSS.EXE. Tento program je pak spuštěn jako skrytý proces a je vlastně rezidentní částí viru FunLove. Následně jsou infikovány všechny soubory s příponou EXE, SCR a OCX na discích C: až Z:. Protože je napaden i program Explorer.exe, spustí se virus automaticky při každém startu nebo restartu Windows. FunLove neinfikuje soubory začínající ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA* (tak zpravidla začínají názvy významných antivirových programů).
W32.FunLove využívá rutinu pod Windows NT vykradenou z W32.Bolzano, která zpřístupní všem uživatelům administrátorská práva, což je patrně nejnebezpečnější efekt tohoto viru. To viru umožňuje získat neomezený přístup ke všem souborům.
Po dokončení celého procesu pak FunLove pravidelně kontroluje všechny sdílené disky s povoleným zápisem a průběžně infikuje všechny spustitelné soubory.
Pokud pod DOSem spustíte soubor FLCSS.EXE, zobrazí se text ~Fun Loving Criminal~ (tento text je viditelný v těle každého infikovaného souboru) a počítač se zrestartuje zpět do Windows.
Protože virus infikuje soubory OCX, je možné zavirovat systém z Internetu. Stačí navštívit stránku s vloženým ActiveX a povolit jeho download a spuštění. Z tohoto důvodu je doporučeno nastavit nejvyšší bezpečnost browseru, nebo ActiveX úplně zakázat.
|
