Name:W32/Funlove.4099
Entdeckt am:11/12/1999
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
Dateigröße:4099 Bytes
IVDF Version:6.18.00.16 - Montag, 17. März 2003

 General Verbreitungsmethode:
   • Infiziert Dateien


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter

 Dateien Die folgenden Dateien werden geändert:
   • %SYSDIR%\Ntoskrnl.exe
   • C:\ntldr
Als Folge werden verschiedene Sicherheitsmechanismen deaktiviert.



Es wird folgende Datei erstellt:

%SYSDIR%\FLCSS.EXE Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/FunLove.4099

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Infektionslänge:

- 4099 Bytes


Ignoriert Dateien, die:

eine der folgenden Zeichenfolgen in ihrem Name enthalten:
   • aler; amon; avp; avp3; avpm; f-pr; navw; scan; smss; ddhe; dpla; mpla


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe
   • *.scr
   • *.ocx

 Registry Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.

– [HKLM\SYSTEM\CurrentControlSet\Services\FLC]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "Tag"=dword:0000000f
     "ImagePath"="%SYSDIR%\FLCSS.EXE"
     "DisplayName"="FLC"
     

 Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
   • ~Fun Loving Criminal~

Die Beschreibung wurde erstellt von Razvan Olteanu am Dienstag, 13. Juli 2010
Die Beschreibung wurde geändert von Razvan Olteanu am Mittwoch, 14. Juli 2010

zurück . . . .