zur�ck zur Hauptseite
english version  english version
letzte Meldungen
Praktische Anleitung zum PC-Eigenbau
Diskussionsforum rund um den PC!
Tests, Infos und W�rterb�cher!

Tips & Trick f�r Microsoft Produkte!
Editoriales - interessante Berichte im Bereich der IT
Viren: Prophylaxe, Erkennung und Entfernung
Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!



Domains schnell & einfach registrieren.
 
 Aktuelle Testberichte 

Direkt zum Video!
Shark Zone H30
Gaming Headset
Direkt zum Video!
Belkin Charge Dock für
Apple Watch/iPhone
Direkt zum Tes!
TrekStor SufTab duo W1
Volks-Tablet
Direkt zum Test!
BABYLON-PRO

EPSON DX3850

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
de:terra-canis:katze:120x600:gif
 Testberichte 
H�ttest Du's gewu�t?
Überflüssige Menüpunkte entfernen
AAPC zeigt, wie's geht!
 Viren 
0 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD


Gefahr

   

 Verbreitung 

   

Name des Virus

W32.FunLove.4099

Typ

Sonstige

befallene Betriebssysteme

Windows 9x, Windows NT

Alias

FLCSS, Win32.FLC

Infizierung:
Der Virus ist bisher nur „in the wild“ gesichtet worden, d.h. er tritt nur in freier Wildbahn auf ohne konkrete Hinweise auf eine Infizierungsvorgehen.

Schadensroutine:
Beim Aufruf einer mit dem FunLove-Virus verseuchten Datei sucht der Virus auf allen Netzlaufwerken nach infizierbaren Dateien. Er infiziert, ähnlich wie der CIH-Virus und der W32.Kriz.3740, nur PE-Dateien (Portable Executable), also Dateien mit den Dateierweiterungen .EXE, .OCX, .SCR. Die Infizierung der PE-Dateien läuft im Hintergrund ab, so dass der jeweilige PC-Benutzer keinerlei Startverzögerung feststellen kann.
Während dieser Infizierung erzeugt er eine Datei namens FLCSS.EXE im %SYSTEM%-Verzeichnis (dies ist standardmäßig das Windows/Winnt-Verzeichnis), die das WIN 32 PE-Format hat. Der Virus führt nun diese Datei aus, welches unter Windows 95/8 eine versteckte Anwendung anstößt und unter Windows NT einfach einen Service startet. Danach nimmt die Infizierung aller PE-Dateien auf den lokalen Laufwerken C: bis Z:, sowie allen Netzlaufwerken, auf die der Benutzer Schreibzugriff hat, ihren Lauf. Gibt es beim Erzeugen der FLCSS.EXE einen Fehler, so wird die Infizierung von der derzeit infizierten PE-Datei gestartet.
Im Falle von Windows NT ist der Virus gefährlicher. Wird ein NT-Rechner infiziert und hat der Virus dort dann Administratorrechte, so greift er das Sicherheitssystem an und gibt jedem Anwender automatisch vollen Zugang zu fremden Daten, d.h. selbst ein Zugriff als „Gast“ ermöglicht ein Löschen oder Ändern von Dateien. Dies kann auch dadurch geschehen, daß sich der Virus so weit verbreitet, bis ein Anwender-PC mit Administratorrechten infiziert ist.

Veränderung der PE-Dateien:
Der Virus schreibt seinen Code an das Ende der zu infizierenden Datei und setzt in der Startroutine (in den ersten 8 Bytes) der Datei den Befehl „Jump Virus“ ein, der garantiert, daß der Virus beim Dateistart ausgeführt wird. Der Virus versucht Virenscannerprogramme zu umgehen und infiziert von daher keine ALLER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA* und MPLA* - Dateien.

Veränderungen unter Windows NT:
Die Änderung der Zugriffsrechte wird durch eine kleine Änderung in der Sicherheits-API namens SeAccessCheck erreicht. Hier werden lediglich 2 Bytes über den Patch NTOSKML.EXE ausgetauscht.

Bemerkungen:
Der FunLove-Virus ist nicht resistent, d.h. er nistet sich nicht dauerhaft im Arbeitsspeicher ein, wie der CIH-Virus oder der W32.Kriz.3740. Da der Virus auch die EXPLORER.EXE infiziert, wird der Virus bei jedem Start ausgeführt. Wird die FLCSS.EXE unter DOS ausgeführt, so wird der Textstring ~Fun Loving Criminal~ angezeigt und danach das System neu gestartet, um Windows hochzufahren.

Feststellung, das der Virus auf Ihrem System ist:

  • Existenz der Datei FLCSS:EXE im %SYSTEM%-Verzeichnis
  • Erhöhung der Dateilänge von PE-Dateien um 4099 Bytes

 Zurück 
 Zur Virenübersicht 
 Virusbeschreibung per Email senden 
 Virusbeschreibung ausdrucken 

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.