Infizierung:
Der Virus ist bisher nur „in the wild“ gesichtet worden, d.h. er tritt nur in freier Wildbahn auf ohne konkrete Hinweise auf eine Infizierungsvorgehen.

Schadensroutine:
Beim Aufruf einer mit dem FunLove-Virus verseuchten Datei sucht der Virus auf allen Netzlaufwerken nach infizierbaren Dateien. Er infiziert, ähnlich wie der CIH-Virus und der W32.Kriz.3740, nur PE-Dateien (Portable Executable), also Dateien mit den Dateierweiterungen .EXE, .OCX, .SCR. Die Infizierung der PE-Dateien läuft im Hintergrund ab, so dass der jeweilige PC-Benutzer keinerlei Startverzögerung feststellen kann.
Während dieser Infizierung erzeugt er eine Datei namens FLCSS.EXE im %SYSTEM%-Verzeichnis (dies ist standardmäßig das Windows/Winnt-Verzeichnis), die das WIN 32 PE-Format hat. Der Virus führt nun diese Datei aus, welches unter Windows 95/8 eine versteckte Anwendung anstößt und unter Windows NT einfach einen Service startet. Danach nimmt die Infizierung aller PE-Dateien auf den lokalen Laufwerken C: bis Z:, sowie allen Netzlaufwerken, auf die der Benutzer Schreibzugriff hat, ihren Lauf. Gibt es beim Erzeugen der FLCSS.EXE einen Fehler, so wird die Infizierung von der derzeit infizierten PE-Datei gestartet.
Im Falle von Windows NT ist der Virus gefährlicher. Wird ein NT-Rechner infiziert und hat der Virus dort dann Administratorrechte, so greift er das Sicherheitssystem an und gibt jedem Anwender automatisch vollen Zugang zu fremden Daten, d.h. selbst ein Zugriff als „Gast“ ermöglicht ein Löschen oder Ändern von Dateien. Dies kann auch dadurch geschehen, daß sich der Virus so weit verbreitet, bis ein Anwender-PC mit Administratorrechten infiziert ist.

Veränderung der PE-Dateien:
Der Virus schreibt seinen Code an das Ende der zu infizierenden Datei und setzt in der Startroutine (in den ersten 8 Bytes) der Datei den Befehl „Jump Virus“ ein, der garantiert, daß der Virus beim Dateistart ausgeführt wird. Der Virus versucht Virenscannerprogramme zu umgehen und infiziert von daher keine ALLER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA* und MPLA* - Dateien.

Veränderungen unter Windows NT:
Die Änderung der Zugriffsrechte wird durch eine kleine Änderung in der Sicherheits-API namens SeAccessCheck erreicht. Hier werden lediglich 2 Bytes über den Patch NTOSKML.EXE ausgetauscht.

Bemerkungen:
Der FunLove-Virus ist nicht resistent, d.h. er nistet sich nicht dauerhaft im Arbeitsspeicher ein, wie der CIH-Virus oder der W32.Kriz.3740. Da der Virus auch die EXPLORER.EXE infiziert, wird der Virus bei jedem Start ausgeführt. Wird die FLCSS.EXE unter DOS ausgeführt, so wird der Textstring ~Fun Loving Criminal~ angezeigt und danach das System neu gestartet, um Windows hochzufahren.

Feststellung, das der Virus auf Ihrem System ist:

• Existenz der Datei FLCSS:EXE im %SYSTEM%-Verzeichnis
• Erhöhung der Dateilänge von PE-Dateien um 4099 Bytes

Zurück

Zur Virenübersicht

Virusbeschreibung per Email senden

Virusbeschreibung ausdrucken