Virový maják č. 24: Virus W32.FunLove.4099 - upřesnění faktů

Under Windows NT, the virus uses a routine 'lifted' from the W32/Bolzano virus to patch the files NTOSKRNL.EXE and NTLDR if the current user is logged in with administrator rights. This patch, which is activated after the next system restart, allows all users full administrator rights to the system. This allows the virus (and any low-level users) full, unrestricted access to all the files on the system.

Tedy "Pod Windows NT virus používá rutinu vytaženou z W32.Bolzano, která upraví soubory NTOSKRNL.EXE a NTLDR v případě, že právě přihlášený uživatel má administrátorská práva. Tato úprava, která je aktivována při dalším restartu systému, zpřístupňuje všem uživatelům administrátorská práva k systému. To znamená, že každý virus (a každý uživatel) získá plný, neomezený přístup ke všem souborům v systému".

Z informací ostatních antivirových společností, které přinesly zprávu o W32.Funlove o něco později, ale vyplývá, že tento virus napadá pouze bezpečnostní systém přístupu k souborům a přepisuje jádro systému, tedy nezpřístupňuje plná administrátorská práva, jak jsme uvedli ve zmíněném článku.

Pokud tedy virus W32.FunLove infikuje systém v okamžiku, kdy na něm pracuje uživatel s administrátorskými právy, získají všichni ostatní uživatelé (včetně těch s nejmenšími právy) plný přístup ke všem souborům, bez ohledu na jejich bezpečnostní nastavení - mohou je číst, mazat nebo modifikovat.

Virus je tedy o něco méně nebezpečný, než se původně zdálo, nicméně stále byste před ním měli být na pozoru. V případě infikování počítače totiž není zrovna jednoduché jej odstranit a uvést vše do původního stavu. Také riziko zásahu nepoučených uživatelů do systémových souborů Windows NT může administrátorům přinést perné chvilky.