W32.Funlove.4099

Bei Ausführung geht FunLove folgendermaßen vor:
Mit W32.FunLove.4099 infizierte Dateien fügen die Datei Flcss.exe in den Ordner \Windows\System (Windows 95\98\Me) oder \Winnr\System32 (Windows NT) ein. Wenn die 4.608 Byte große Datei Flcss.exe erstellt werden kann, versucht der Virus, diese als Dienst auf Windows NT-Computern auszuführen. Wenn dieser Dienst aus einem beliebigen Grund nicht gestartet werden kann, erzeugt der Virus im infizierten Programm einen Thread. Dieser Thread infiziert lokale Laufwerke und Netzwerklaufwerke, indem er nach Portable Executable (PE)-Dateien mit der Erweiterung .exe, .scr oder .ocx sucht. Der Thread wird anschließend im infizierten Prozess ausgeführt und der Haupt-Thread des Programms übernimmt die Kontrolle. In den meisten Fällen werden hierdurch keine erkennbaren Verzögerungen verursacht. Wenn der Virus als Dienstprozess mit dem Namen "FLC" starten konnte, werden andere infizierte Programme ebenfalls versuchen, die Datei Flcss.exe zu installieren. Sie werden jedoch keinen neuen Infektions-Thread erzeugen. W32.FunLove.4099 ist der zweite Virus, der als Dienst auf Windows NT ausgeführt wird.

Der Virus WNT.RemEx.A (W32.RemoteExplore) ist in seiner Funktionsweise dem Virus W32.FunLove.4099 sehr ähnlich, allerdings kann W32.FunLove.4099 sowohl auf Windows 95/98 als auch auf Windows NT ausgeführt werden. Daher gilt er als gefährlicher als WNT.RemEx.A. Wenn der Virus als Dienst ausgeführt wird, kann er sich auf die lokalen Laufwerke ausbreiten, selbst wenn niemand angemeldet ist. Daher kann der Virus Dateien infizieren, auf die normalerweise nach dem Anmelden nicht mehr zugegriffen werden kann. Der Virus kann z. b. die Datei Explorer.exe in einem Windows NT-System infizieren.

Auf Windows 95/98-Computern legen infizierte Programme die Datei Flcss.exe im \System-Ordner ab und versuchen, sie als normalen Prozess auszuführen. Wenn der Prozess nicht ausgeführt werden kann, versucht der Virus, den Infektions-Thread innerhalb des infizierten Host-Programms auszuführen.

Der Virus greift außerdem das Dateisicherheitssystem von Windows NT an. Für diesen Angriffsversuch benötigt der Virus während der ersten Infiltrierung Administratorrechte auf dem Windows NT-Server oder der Windows NT-Arbeitsstation. Sobald sich der Administrator oder eine Person mit Administratorrechten anmeldet, ist es für W32.FunLove.4099 möglich, die Datei Ntoskml.exe (den Kernel von Windows NT) im Ordner \Winnt\System32 zu ändern. Der Virus ändert nur zwei Bytes in einer Sicherheits-API mit dem Namen SeAccessCheck. W32.FunLove.4099 kann anschließend allen Benutzern vollständigen Zugriff auf alle Dateien gewähren, wenn der Computer mit dem veränderten Kernel gestartet wird. Der ursprüngliche Schutz spielt hierbei keine Rolle. Das bedeutet, dass ein Gast, der über die wenigsten Rechte im System verfügt, alle Dateien lesen und ändern kann, einschließlich der Dateien, auf die normalerweise nur der Administrator zugreifen kann. Das ist ein potentielles Problem, da der Virus sich ungeachtet der eigentlichen Zugriffsbeschränkungen auf dem Computer überall verbreiten kann. Außerdem sind nach dem Angriff keine Daten mehr vor Änderungen durch Benutzer geschützt.

Leider wird die Konsistenz der Datei Ntoskrnl.exe nur einmal während des Startprozesses überprüft. Das Ladeprogramm Ntldr überprüft Ntoskrnl.exe, wenn es die Datei während des Starts in den physischen Speicher lädt. Wenn der Kernel beschädigt wird, soll Ntldr das Laden der Datei Ntoskrnl.exe eigentlich stoppen und eine Fehlermeldung anzeigen, noch bevor ein "blauer Bildschirm" angezeigt wird. Um dies zu vermeiden, fügt W32.FunLove.4099 dem Ladeprogramm ein Patch hinzu, so dass keine Fehlermeldungen angezeigt werden, und Windows NT startet erfolgreich, auch wenn die neue Prüfsumme nicht mit der ursprünglichen übereinstimmt. Da die Konsistenz von Ntldr nicht überprüft wird, wird der mit dem Patch versehene Kernel geladen, ohne dass der Benutzer benachrichtigt wird. Da Ntldr eine versteckte, schreibgeschützte Systemdatei ist, ändert W32.FunLove.4099 die Dateiattribute in "Archiv", bevor er versucht, den Patch zu installieren. Der Virus stellt für die Attribute von Ntldr nach der Installation des Patches nicht wieder die ursprünglichen Werte ein. FunLove kann außerdem lokale Laufwerke und Netzwerklaufwerke infizieren. Der Virus sucht nach zugeordneten Netzlaufwerken und infiziert PE-Dateien auf diesen Computern. Zusätzlich wird das Patch von Ntoskrnl und Ntldr auf den Netzlaufwerken ausgeführt. Sobald ein Computer mit ausreichenden Rechten dem Systemlaufwerk eines Windows NT-Computers zugeordnet wird, ändert der Virus die Kernel- und die Ladeprogramm-Komponente über das Netzwerk.

Die Patches für Ntoskrnl und Ntldr werden durch eine vom Virus Bolzano übernommene Routine ausgeführt. In der Tat ist bei mehr als 50 Prozent des Viruscodes eine Ähnlichkeit mit dem Virus Bolzano zu erkennen. Es ist sehr wahrscheinlich, dass diese beiden Viren von derselben Person geschrieben wurden.

So findet FunLove die zugeordneten Laufwerke in einem System
FunLove verwendet den Windows-Funktionsaufruf WNetEnumResourceA. Details zu dieser Funktion können Sie in der Microsoft Developer Network-Dokumentation finden.

Kann Ntoskrnl.exe über das Netzwerk infiziert werden, ohne dass die Datei Flcss.exe in das System kopiert wird?
Der Wurm infiziert jedes Netzlaufwerk, dass er über den WnetEnumResourceA-Aufruf findet. Solange das Laufwerk beschreibbar ist, ändert FunLove die Datei Ntoskrnl.exe über das Netzwerk, selbst wenn die Datei Flcss.exe dabei nicht im System abgelegt wird. Die Datei Ntoskrnl.exe wird durch FunLove zwar nicht infiziert, jedoch wird die Sicherheitsfunktion der Datei geändert. Sobald der betroffene Computer neu gestartet wird, werden die Dateien Ntoskrnl.exe und Ntldr geladen und die Sicherheit wird gefährdet.

Nicht infizierte Dateien
Der Virus infiziert keine Dateien, deren Namen mit den folgenden Zeichen beginnen:
aler
amon
avp
avp3
avpm
f-pr
navw
scan
smss
ddhe
dpla
mpla

Hierbei handelt es sich um Dateinamensteilen von AntiVirus-Programmen sowie um einige andere Programme.

Empfehlungen

Symantec Security Response empfiehlt allen Benutzern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:

• Beenden und entfernen Sie alle nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht unbedingt erforderlich sind, z. B. FTP-Server, Telnet und Web-Server. Diese Dienste öffnen Angreifern Tür und Tor. Durch ihr Entfernen wird die Angriffsfläche für komplexe Bedrohungen reduziert, und Sie müssen weniger Programme mit Patch-Updates auf dem neuesten Stand halten.
• Wenn eine komplexe Bedrohung einen oder mehrere Netzwerkdienste angreift, deaktivieren oder sperren Sie diese so lange, bis ein entsprechender Patch installiert wurde.
• Halten Sie Ihre Patches immer auf dem neuesten Stand, insbesondere auf Computern, auf denen öffentliche Dienste installiert sind und auf die über die Firewall zugegriffen werden kann (z. B. auf HTTP-, FTP-, E-Mail- und DNS-Dienste). So sollte beispielsweise auf allen Windows-basierten Computern das aktuellste Service Pack installiert sein. Darüber hinaus sollten Sie alle in diesem Dokument, in vertrauenswürdigen Sicherheitsmitteilungen oder auf den Webseiten der Hersteller erwähnten Sicherheits-Updates installieren.
• Erstellen Sie eine Kennwortrichtlinie und sorgen Sie für ihre Durchsetzung. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf Computern, deren Sicherheit nicht mehr intakt ist. Dadurch können Schäden verhindert oder begrenzt werden, wenn ein Computer angegriffen wurde.
• Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails mit Dateianhängen, über die häufig Viren verbreitet werden (z. B. Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr), blockiert oder entfernt werden.
• Isolieren Sie infizierte Computer schnellstmöglich, um weitere Schäden zu verhindern. Führen Sie eine forensische Analyse durch, und reparieren Sie die Computer mithilfe zuverlässiger Medien.
• Schulen Sie Ihre Mitarbeiter, so dass sie keine Anhänge öffnen, die unaufgefordert eingesendet werden. Führen Sie außerdem keine aus dem Internet heruntergeladene Software aus, die zuvor nicht auf Viren geprüft wurde. Schon allein der Besuch einer infizierten Internet-Seite kann zu einer Infektion führen, wenn bestimmte Browser-Schwachstellen nicht behoben werden.

Zusammenfassung