zur�ck zur Hauptseite
english version  english version
letzte Meldungen
Praktische Anleitung zum PC-Eigenbau
Diskussionsforum rund um den PC!
Tests, Infos und W�rterb�cher!

Tips & Trick f�r Microsoft Produkte!
Editoriales - interessante Berichte im Bereich der IT
Viren: Prophylaxe, Erkennung und Entfernung
Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!



www.plus.de
 
 Aktuelle Testberichte 

Direkt zum Video!
Shark Zone H30
Gaming Headset
Direkt zum Video!
Belkin Charge Dock für
Apple Watch/iPhone
Direkt zum Tes!
TrekStor SufTab duo W1
Volks-Tablet
Direkt zum Test!
BABYLON-PRO

EPSON DX3850

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
Hier klicken!
 Testberichte 
H�ttest Du's gewu�t?
Spaltenbreite optimieren
AAPC zeigt, wie's geht!
 Viren 
0 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD


Gefahr

   

 Verbreitung 

   

Name des Virus

W32.FunLove.4099

Typ

Sonstige

befallene Betriebssysteme

Windows 9x, Windows NT

Alias

FLCSS, Win32.FLC

Infizierung:
Der Virus ist bisher nur in the wild gesichtet worden, d.h. er tritt nur in freier Wildbahn auf ohne konkrete Hinweise auf eine Infizierungsvorgehen.

Schadensroutine:
Beim Aufruf einer mit dem FunLove-Virus verseuchten Datei sucht der Virus auf allen Netzlaufwerken nach infizierbaren Dateien. Er infiziert, hnlich wie der CIH-Virus und der W32.Kriz.3740, nur PE-Dateien (Portable Executable), also Dateien mit den Dateierweiterungen .EXE, .OCX, .SCR. Die Infizierung der PE-Dateien luft im Hintergrund ab, so dass der jeweilige PC-Benutzer keinerlei Startverzgerung feststellen kann.
Whrend dieser Infizierung erzeugt er eine Datei namens FLCSS.EXE im %SYSTEM%-Verzeichnis (dies ist standardmig das Windows/Winnt-Verzeichnis), die das WIN 32 PE-Format hat. Der Virus fhrt nun diese Datei aus, welches unter Windows 95/8 eine versteckte Anwendung anstt und unter Windows NT einfach einen Service startet. Danach nimmt die Infizierung aller PE-Dateien auf den lokalen Laufwerken C: bis Z:, sowie allen Netzlaufwerken, auf die der Benutzer Schreibzugriff hat, ihren Lauf. Gibt es beim Erzeugen der FLCSS.EXE einen Fehler, so wird die Infizierung von der derzeit infizierten PE-Datei gestartet.
Im Falle von Windows NT ist der Virus gefhrlicher. Wird ein NT-Rechner infiziert und hat der Virus dort dann Administratorrechte, so greift er das Sicherheitssystem an und gibt jedem Anwender automatisch vollen Zugang zu fremden Daten, d.h. selbst ein Zugriff als Gast ermglicht ein Lschen oder ndern von Dateien. Dies kann auch dadurch geschehen, da sich der Virus so weit verbreitet, bis ein Anwender-PC mit Administratorrechten infiziert ist.

Vernderung der PE-Dateien:
Der Virus schreibt seinen Code an das Ende der zu infizierenden Datei und setzt in der Startroutine (in den ersten 8 Bytes) der Datei den Befehl Jump Virus ein, der garantiert, da der Virus beim Dateistart ausgefhrt wird. Der Virus versucht Virenscannerprogramme zu umgehen und infiziert von daher keine ALLER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA* und MPLA* - Dateien.

Vernderungen unter Windows NT:
Die nderung der Zugriffsrechte wird durch eine kleine nderung in der Sicherheits-API namens SeAccessCheck erreicht. Hier werden lediglich 2 Bytes ber den Patch NTOSKML.EXE ausgetauscht.

Bemerkungen:
Der FunLove-Virus ist nicht resistent, d.h. er nistet sich nicht dauerhaft im Arbeitsspeicher ein, wie der CIH-Virus oder der W32.Kriz.3740. Da der Virus auch die EXPLORER.EXE infiziert, wird der Virus bei jedem Start ausgefhrt. Wird die FLCSS.EXE unter DOS ausgefhrt, so wird der Textstring ~Fun Loving Criminal~ angezeigt und danach das System neu gestartet, um Windows hochzufahren.

Feststellung, das der Virus auf Ihrem System ist:

  • Existenz der Datei FLCSS:EXE im %SYSTEM%-Verzeichnis
  • Erhhung der Dateilnge von PE-Dateien um 4099 Bytes

 Zurck 
 Zur Virenbersicht 
 Virusbeschreibung per Email senden 
 Virusbeschreibung ausdrucken 

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschtzt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundrquellen gegengeprft und besttigt werden, kann fr den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung bernommen werden.