NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior


VIRUS W32/FunLove.4099

Nombre de virus: W32/FunLove.4099

Alias conocidos: FunLove

Riesgo: Alto ( Bajo. Alto, Muy Alto)

Activación: No se le conocen otros efectos

Propagación: Por ejecución ficheros tipo PE infectados

Detección: VIRUSCAN Desde 4052 (o con EXTRA.DAT)

Infección actual: Inicial (Inicial, Media, Elevada)

 

 

Se trata de un nuevo virus que infecta ficheros Win32 PE, extensiones EXE, SCR y OCX, operando bajo Windows 9x y Windows NT 4.0

 

Cuando opera por primera vez, genera el fichero FLCSS.EXE en la carpeta %SYSTEM%, e infecta directamente los EXE, SCR y OCX de las carpetas y subcarpetas de Program Files y Windows\WinNT.

 

Debido a que cuando WINDOWS arranca ejecuta el EXPLORER.EXE el virus se reejecuta cada vez que el sistema rearranca.

 

El FunLove usa una rutina del virus W32/Bolzano con la que modifica los ficheros de NT NTOSKRNL.EXE y NTLDR. Gracias a ello el virus obtiene acceso total al sistema después del siguiente rearranque.

Los indicados ficheros deberán ser restablecidos desde copia de seguridad, pues la modificación no guarda datos anteriores..

 

Periódicamente el virus examina toda la red con permiso de escritura e infecta cualquier fichero EXE, SCR.y OCX, añadiendo una copia del fichero FLCSS.EXE al final del último trozo PE, aumentando 4099 bytes al tamaño del fichero original.

 

Este virus no está encriptado ni es polimórfico, por lo que es visible la frase "Fun Loving Criminal" en su interior..Se controla con el último EXTRA.DAT enviado, junto con el del virus BubbleBoy, además de haberlo incluido en el EXTRA.DAT de la actualización del mes de Noviembre, 4051. Los DATS que lo controlarán por defecto sin EXTRA.DAT serán los 4052, al mismo tiempo que el BubbleBoy..

 

 

 

SATINFO, VIRUSCAN SPAIN SERVICE

Anterior