0
Funlove病毒
这是WIN32类型的病毒,它可以感染Windows 9x和Windows NT 4.0操作系统的计算机,并感染所有WIN32类型的文件(PE文件),如Windows和Program Files目录及其子目录中的扩展名为.EXE、.SCR和.OCX的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有文件,同时能够修补NT环境的完整性检测,以便能够感染系统文件。
Funlove病毒简介
--------------------------------------------------------------------------------
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
FunLove回顾
--------------------------------------------------------------------------------
WIN32.FunLove.4099病毒是在99年9月被发现,不过最近又要杀“回马枪”,本文只是提醒您不要忽视已经出现的病毒,一不留神,它们也会“死灰复燃”的。
FunLove是驻留内存的Win32 病毒,该病毒既没有加密又不具有多态性。它感染本地和网络中的PE EXE文件。病毒本身就是只具有'.code'部分的PE 可执行文件。
当染毒的文件被运行时,该病毒将在Windows system目录下创建FLCSS.EXE文件,在其中只写入纯代码部分,并运行这个生成的文件。这个文件就变成病毒“点滴器”(“dropper”)——在WIN 9X系统中,它(“点滴器”)将由被作为隐含的Windows 应用程序启动,而WIN NT 中将被作为一个服务启动。
万一在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR和.EXE扩展名的PE文件。当感染一个文件时,该病毒将其代码写到那个文件的尾部——文件的最后部分并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病毒将首先恢复这8字节的代码然后运行它的主程序。
只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文件,这样就在相当程度上限制了病毒的传播。
病毒在感染的时候检查文件名,它不感染以下列4个字母开始的文件:ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA,这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe文件。被修补的文件不可以恢复只能通过备份来恢复。
该病毒不具有任何有效载体,它包含下列文本:
~Fun Loving Criminal~
该文本被放置在'This program cannot be run in DOS mode.'的位置。当病毒“点滴器”从DOS启动时它将输出消息并重启系统。
如何斩断“FUNLOVE”病毒?
--------------------------------------------------------------------------------
从1999年现身后至今,Funlove一直是局域网用户最头痛的病毒。它主要感染本地及网络中的PE—EXE文件,而由于在局域网内,服务器或其它某些机器必须长期保持开机状态,一旦被“Funlove”感染,电脑便处于带毒运行状态,始终无法彻底清除。这样致使以往所有的杀毒软件对Funlove屡杀不止,染毒电脑反复缠绵于“症”塌。日前,北京瑞星公司向业界宣布:瑞星杀毒软件的“Funlove内存杀毒技术”已能够彻底清除Funlove病毒。应用瑞星杀毒软件,染毒后的机器不需重启就能够带毒杀毒,从此,局域网用户终于可以和难缠的Funlove病毒一刀两断了。
Funlove是驻留于内存的Win32病毒,其最大一个特点即易于检测定的时间间隔,周期性地检测每一个驱动器上的EXE、SCR(屏保程序)和OCX(Active X control)文件,并对相应的文件进行感染与重新感染。只要有一个染毒程序被运行,病毒代码程序即获得系统控制权,Funlove.FLC病毒就会在Wndows\system目录下创建一个只含病毒代码的执行文件FLCSS.EXE。此后,每当病毒程序得以运行时,它都会在后台创建一个线程,搜索所有本地驱动器和可写的网络资源,并在机器间完全共享的文件中极为迅速地传播。
对于企业级用户来说,Funlove病毒尤为危险:当“Funlove”侵入网络管理员所在的电脑后,将导致通过这台被感染的电脑前来访问的所有用户拥有与网络管理员同样的权限,从而任何人都可以随意删改整个系统的安全设置,危及整个局域网内的信息资料安全。到目前为止,Funlove病毒已为全球范围内的局域网用户带来了巨大损失:戴尔计算机公司在爱尔兰的Linerick工厂因生产系统发现被该病毒感染而被迫停产两天;国内用户,特别是一些重要的行业领域代表企业也是损失惨重。
要彻底清除难缠的Funlove,目前最有效的方法即应用瑞星杀毒软件独有的彻底查杀Funlove病毒的功能。瑞星杀毒软件网络版可以彻底清除驻留内存的Funlove病毒,其全网自动升级、全网查杀毒功能更将保障局域网内所有机器杜绝Funlove病毒的“死灰复燃”,同时免遭新型病毒的攻击,让企业与病毒彻底一刀两断。
黑客假冒反病毒公司向用户发送带病毒邮件
--------------------------------------------------------------------------------
一家俄罗斯反病毒公司周五为一封本身携带真正意义蠕虫的病毒警告电子邮件道歉,该电邮被用户认为是警告病毒发生的公司电子邮件。
俄罗斯Kaspersky实验室说,上周四对预定用户发出的公司“病毒新闻”电子邮件,实际上是由黑客假冒公司名义发出的。黑客设法攻入了位于莫斯科Kaspersky试验室的电脑系统,盗窃了公司新闻邮件的邮件列表。
公司发起人和研究负责人Kaspersky说,我们正在调查这次攻击的源头,同时公司也在采取必要措施,以保证这类攻击将来不会再次发生。
到现在为止,公司没有得到任何受感染邮件病毒危害的消息,但是公司已经决定对所有受到病毒感染的人提供免费的技术支持。
被感染的电子邮件信息发至数千名预定用户,邮件携带了最近发现的Braid蠕虫的副本。Braid 蠕虫也被Kaspersky公司称作Bridex,病毒的扩散程度非常广。英国电子邮件服务商MessageLabs 从其所服务的客户公司中拦截了这个恶意附件,公司在最近24小时内仅发现了2000多个病毒副本。在该公司每日10大病毒列表上,它排名第五。该公司在最近24小时内拦截了9000封感染了Klez病毒的电子邮件。
Braid病毒是Funlove病毒的变种,是由虚拟Basic描述语言写成的,病毒自带电子邮件引擎。这意味着即便被感染电脑上没有安装Outlook这类客户端电邮软件,病毒也能自我扩散。病毒感染运行Windows操作系统的电脑,在硬盘上复制几个文件,并且在各类文件中寻找电子邮件地址,然后再向这些地址自动地发出电邮。
目标锁定运行Windows系统电脑 Funlove变种病毒在蔓延
--------------------------------------------------------------------------------
安全专家发出警报:Funlove变种病毒--一种新邮件蠕虫正在互联网上蔓延,目标是运行微软Windows操作系统的电脑。 此病毒叫W32/Braid.A或I-Worm.Bridex,以邮件的形式传播,没有邮件主题,其附件为README.EXE。
该病毒的传播方式及其狡猾,它能诱使潜在受害者去激活它。它把邮件附件README.EXE属性设置为“来自Trend Microsoft Inc.”的“Anti Virus World System””的字眼。 当收件人双击附件时,此蠕虫就会将Funlove变种病毒“Bride.exe”的副本复制到本地系统,修改注册表,使得它在每次机器启动时能自动运行,然后将自己的副本向Outlook地址簿中的所有地址发送。
Funlove是一个邮件蠕虫病毒,最初发现于1999年11月,专门感染Windows的PE文件。在感染本地机器的可执行文件后,它又会将自己传播到局域网或广域网上去破坏其他机器的可执行文件。打开任何损坏的可执行文件就会激活病毒副本。
安全专家专家称,由于利用了微软Outlook、Outlook Express及IE等产品的IFrame漏洞,新蠕虫“Bridex/Braid”能够不需与用户交互的情况下就可运行。微软在2001年就发布了此漏洞的补丁,下载地址为:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
清除Funlove变种病毒,安全专家建议删除被感染机器上的任何受影响文件,然后运行杀毒软件查杀Funlove变种病毒,再重新安装Windows操作系统。
Funlove病毒简介
--------------------------------------------------------------------------------
这是WIN32类型的病毒,它可以感染Windows 9x 和Windows NT 4.0操作系统。它感染所有WIN32类型的文件(PE文件),如Windows 和 Program Files 目录及其子目录中的扩展名为.EXE, .SCR, and .OCX 的文件。该病毒搜索所有具有写访问的网络共享文件夹并感染那里的所有的文件。该病毒同时能够修补NT环境的完整性检测,以便能够感染系统文件。
病毒中有'~Fun Loving Criminal~'字样。 该病毒没有故意的破坏性,但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
同一个简单的添加一样,Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾,然后,它修改PE文件头信息以显示新的扇区大小,使扇区的特征适应病毒的需要,同时病毒修改原文件入口点的程序代码以便执行病毒代码。
当一个染毒程序被运行,病毒代码程序获得系统控制权,Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件,并从染毒宿主文件的最后提取出病毒代码,将其写入该文件中,然后FLCSS.EXE被执行。
如果是在NT的许可权限下运行,FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中,并且被设置为在每次启动时自动运行此服务。在Windows 9X下,它像一个隐含程序一样运行,在任务列表中是不可见的。
在病毒程序第一次运行时,该病毒会按照一定的时间间隔,周期性地检测每一个驱动器上的EXE,SCR(屏保程序)和OCX(ActiveX control)文件,找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源,并感染任何有访问权限的同一类型的文件。因此,它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们:ALER*, AMON*, _AVP*, AVP3*, AVPM*, FPR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改(patch),使得文件的许可请求总是返回允许访问(access allowed),这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包(service packs)中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。
如果FLCSS.EXE 运行在DOS下,病毒将显示'~Fun Loving Criminal~'字串,然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败,而计算机则被锁。
FunLove回顾
--------------------------------------------------------------------------------
WIN32.FunLove.4099病毒是在99年9月被发现,不过最近又要杀“回马枪”,本文只是提醒您不要忽视已经出现的病毒,一不留神,它们也会“死灰复燃”的。
FunLove是驻留内存的Win32 病毒,该病毒既没有加密又不具有多态性。它感染本地和网络中的PE EXE文件。病毒本身就是只具有'.code'部分的PE 可执行文件。
当染毒的文件被运行时,该病毒将在Windows system目录下创建FLCSS.EXE文件,在其中只写入纯代码部分,并运行这个生成的文件。这个文件就变成病毒“点滴器”(“dropper”)——在WIN 9X系统中,它(“点滴器”)将由被作为隐含的Windows 应用程序启动,而WIN NT 中将被作为一个服务启动。
万一在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR和.EXE扩展名的PE文件。当感染一个文件时,该病毒将其代码写到那个文件的尾部——文件的最后部分并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病毒将首先恢复这8字节的代码然后运行它的主程序。
只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文件,这样就在相当程度上限制了病毒的传播。
病毒在感染的时候检查文件名,它不感染以下列4个字母开始的文件:ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA,这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe文件。被修补的文件不可以恢复只能通过备份来恢复。
该病毒不具有任何有效载体,它包含下列文本:
~Fun Loving Criminal~
该文本被放置在'This program cannot be run in DOS mode.'的位置。当病毒“点滴器”从DOS启动时它将输出消息并重启系统。
如何斩断“FUNLOVE”病毒?
--------------------------------------------------------------------------------
从1999年现身后至今,Funlove一直是局域网用户最头痛的病毒。它主要感染本地及网络中的PE—EXE文件,而由于在局域网内,服务器或其它某些机器必须长期保持开机状态,一旦被“Funlove”感染,电脑便处于带毒运行状态,始终无法彻底清除。这样致使以往所有的杀毒软件对Funlove屡杀不止,染毒电脑反复缠绵于“症”塌。日前,北京瑞星公司向业界宣布:瑞星杀毒软件的“Funlove内存杀毒技术”已能够彻底清除Funlove病毒。应用瑞星杀毒软件,染毒后的机器不需重启就能够带毒杀毒,从此,局域网用户终于可以和难缠的Funlove病毒一刀两断了。
Funlove是驻留于内存的Win32病毒,其最大一个特点即易于检测定的时间间隔,周期性地检测每一个驱动器上的EXE、SCR(屏保程序)和OCX(Active X control)文件,并对相应的文件进行感染与重新感染。只要有一个染毒程序被运行,病毒代码程序即获得系统控制权,Funlove.FLC病毒就会在Wndows\system目录下创建一个只含病毒代码的执行文件FLCSS.EXE。此后,每当病毒程序得以运行时,它都会在后台创建一个线程,搜索所有本地驱动器和可写的网络资源,并在机器间完全共享的文件中极为迅速地传播。
对于企业级用户来说,Funlove病毒尤为危险:当“Funlove”侵入网络管理员所在的电脑后,将导致通过这台被感染的电脑前来访问的所有用户拥有与网络管理员同样的权限,从而任何人都可以随意删改整个系统的安全设置,危及整个局域网内的信息资料安全。到目前为止,Funlove病毒已为全球范围内的局域网用户带来了巨大损失:戴尔计算机公司在爱尔兰的Linerick工厂因生产系统发现被该病毒感染而被迫停产两天;国内用户,特别是一些重要的行业领域代表企业也是损失惨重。
要彻底清除难缠的Funlove,目前最有效的方法即应用瑞星杀毒软件独有的彻底查杀Funlove病毒的功能。瑞星杀毒软件网络版可以彻底清除驻留内存的Funlove病毒,其全网自动升级、全网查杀毒功能更将保障局域网内所有机器杜绝Funlove病毒的“死灰复燃”,同时免遭新型病毒的攻击,让企业与病毒彻底一刀两断。
黑客假冒反病毒公司向用户发送带病毒邮件
--------------------------------------------------------------------------------
一家俄罗斯反病毒公司周五为一封本身携带真正意义蠕虫的病毒警告电子邮件道歉,该电邮被用户认为是警告病毒发生的公司电子邮件。
俄罗斯Kaspersky实验室说,上周四对预定用户发出的公司“病毒新闻”电子邮件,实际上是由黑客假冒公司名义发出的。黑客设法攻入了位于莫斯科Kaspersky试验室的电脑系统,盗窃了公司新闻邮件的邮件列表。
公司发起人和研究负责人Kaspersky说,我们正在调查这次攻击的源头,同时公司也在采取必要措施,以保证这类攻击将来不会再次发生。
到现在为止,公司没有得到任何受感染邮件病毒危害的消息,但是公司已经决定对所有受到病毒感染的人提供免费的技术支持。
被感染的电子邮件信息发至数千名预定用户,邮件携带了最近发现的Braid蠕虫的副本。Braid 蠕虫也被Kaspersky公司称作Bridex,病毒的扩散程度非常广。英国电子邮件服务商MessageLabs 从其所服务的客户公司中拦截了这个恶意附件,公司在最近24小时内仅发现了2000多个病毒副本。在该公司每日10大病毒列表上,它排名第五。该公司在最近24小时内拦截了9000封感染了Klez病毒的电子邮件。
Braid病毒是Funlove病毒的变种,是由虚拟Basic描述语言写成的,病毒自带电子邮件引擎。这意味着即便被感染电脑上没有安装Outlook这类客户端电邮软件,病毒也能自我扩散。病毒感染运行Windows操作系统的电脑,在硬盘上复制几个文件,并且在各类文件中寻找电子邮件地址,然后再向这些地址自动地发出电邮。
目标锁定运行Windows系统电脑 Funlove变种病毒在蔓延
--------------------------------------------------------------------------------
安全专家发出警报:Funlove变种病毒--一种新邮件蠕虫正在互联网上蔓延,目标是运行微软Windows操作系统的电脑。 此病毒叫W32/Braid.A或I-Worm.Bridex,以邮件的形式传播,没有邮件主题,其附件为README.EXE。
该病毒的传播方式及其狡猾,它能诱使潜在受害者去激活它。它把邮件附件README.EXE属性设置为“来自Trend Microsoft Inc.”的“Anti Virus World System””的字眼。 当收件人双击附件时,此蠕虫就会将Funlove变种病毒“Bride.exe”的副本复制到本地系统,修改注册表,使得它在每次机器启动时能自动运行,然后将自己的副本向Outlook地址簿中的所有地址发送。
Funlove是一个邮件蠕虫病毒,最初发现于1999年11月,专门感染Windows的PE文件。在感染本地机器的可执行文件后,它又会将自己传播到局域网或广域网上去破坏其他机器的可执行文件。打开任何损坏的可执行文件就会激活病毒副本。
安全专家专家称,由于利用了微软Outlook、Outlook Express及IE等产品的IFrame漏洞,新蠕虫“Bridex/Braid”能够不需与用户交互的情况下就可运行。微软在2001年就发布了此漏洞的补丁,下载地址为:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
清除Funlove变种病毒,安全专家建议删除被感染机器上的任何受影响文件,然后运行杀毒软件查杀Funlove变种病毒,再重新安装Windows操作系统。
