W32.Funlove.4099

W32.FunLove.4099 verbreitet sich unter Windows 95/98/Me und Windows NT. Die Bedrohung infiziert Programme mit den Erweiterungen .exe, .scr und .ocx. Bei diesem Virus ist zu beachten, dass er eine neue Strategie verwendet, um das Dateisicherheitssystem von Windows NT anzugreifen, und dass er in Windows NT-Systemen als Dienst ausgeführt wird.



Zusätzliche Reparaturinformationen:
In den meisten Fällen können mit W32.FunLove.4099 infizierte Dateien von Norton AntiVirus (NAV) repariert werden.

• Bei Virusdefinitionen, die vor dem 10. Oktober 2000 erstellt wurden, erfolgt dies durch das Ändern des 4099 Bytes des Viruscodes in Nullen. Die reparierte Datei ist daher um 4099 Bytes länger als die nicht infizierte Datei.
• Durch Virusdefinitionen vom 10. Oktober 2000 oder später können Dateien geimpft werden, die mit W32.FunLove.4099 infiziert sind, so dass sie nicht erneut infiziert werden. Bevor der FunLove-Virus versucht, eine Datei zu infizieren, überprüft er zunächst, ob die Datei bereits mit FunLove infiziert ist. (Dieses Verfahren ist bei vielen Viren üblich. Der Virus verwendet einen Algorithmus, um festzustellen, ob die Datei infiziert ist.) Dafür wird die Dateigröße durch 256 geteilt. Wenn das Ergebnis 3 ist, nimmt der Virus an, dass die Datei bereits infiziert ist, und infiziert sie nicht erneut.
  
  Wenn FunLove anhand von Definitionen entdeckt wird, die am 10. Oktober 2000 oder später erstellt wurden, wird der Viruscode aus der Datei entfernt. Um sicherzustellen, dass die Datei nicht erneut infiziert werden kann, werden durch NAV anschließend zusätzliche Bytes an das Dateiende angehängt. Wenn FunLove nun erneut versucht, auf die Datei zuzugreifen, nimmt er an, dass die Datei bereits infiziert ist, und infiziert sie nicht erneut.

DEC Alpha-Computer
W32.FunLove.4099 ist nicht in der Lage, Dateien auf einem Alpha-Computer zu infizieren, sofern kein Wintel-Computer auf diese Dateien zugreifen kann und infizierte Dateien auf dem Alpha-Computer ablegt. Um die Alpha-Plattform von infizierten Dateien zu säubern, trennen Sie den Computer vom Netzwerk und führen Sie anschließend eine Prüfung auf Anforderung durch.

Schutz

• Erste Version der Rapid Release-Definitionen: 11 November 1999
• Neueste Version der Rapid Release-Definitionen: 20 August 2008 Änderung 017
• Erste Version der Daily Certified-Definitionen: 11 November 1999
• Neueste Version der Daily Certified-Definitionen: 20 August 2008 Änderung 016
• Anfangsdatum der Weekly Certified-Definitionen: Anstehend

Klicken Sie hier, um eine ausführliche Beschreibung der Rapid Release- und Daily Certified-Virendefinitionen zu erhalten.

Beurteilung der Bedrohung

Im Umlauf

• Im Umlauf: Mittel
• Anzahl der Infektionen: More than 1000
• Anzahl der Websites: More than 10
• Geografische Verbreitung: Hoch
• Bekämpfungschance: Mittel
• Entfernung: Mittel

Schaden

• Schadensstufe: Mittel
• Auslöser des destruktiven Auftrags: Infektionsdatei wird ausgeführt und die Datei flcss.exe wird als normaler Prozess in C:\Windows\System abgelegt und ausgeführt.
• Ändern von Dateien: Win32-Dateien mit den Erweiterungen .exe, .scr oder .ocx
• Herabsetzen der Systemleistung: Beschädigt Windows-Anwendungen
• Verursachen von Systeminstabilität: Setzt die Systemleistung herab und verursacht manchmal einen Systemabsturz

Verteilung

• Grad der Verteilung: Hoch
• Freigegebene Laufwerke: Wird als NT-Dienst ausgeführt und kann sich auf die lokalen Laufwerke verbreiten
• Ziel der Infektion: Win32-Dateien mit den Erweiterungen .exe, .scr oder .ocx