|
| |
FUNLOVE,
PE_FUNLOVE.4099, (inaczej W32/FUNLOVE, FUNLOVE.4099), atakuje wszystkie pliki
typu .PE, jak .EXE, .SCR, and .OCX w środowiskach Windows 9x i Windows NT 4.0
Po uruchomieniu wirus umieszcza
w katalogu %SYSTEM% (C:\WINDOWS; C:\WINDOWS\SYSTEM, etc.) plik FLCSS.EXE ,
który zaraża wszystkie pliki z rozszerzeniami EXE, SCR oraz OCX umieszczone w
folderach Program Files i Windows9x/WinNT, włącznie z podkatalogami. Odnajduje
także udostępnione foldery sieciowe (Shared Network Folders) i dobiera się do
złożonych tam programów. Na początku zarażonego pliku umieszczana
jest procedura skoku do ostatniej sekcji gdzie dołączany jest program FLCSS.EXE.
Rozmiar pliku powiększa sie do 4,099 bajtów. W środowisku NT wirus
modyfikuje NTOSKRNL (w \WINNT\SYSTEM32) zmieniając w ten sposób nadzór
nad prawami dostępu.
Podczas pracy Windows wirus nie może być usunięty !
Jak usunąć ?
- Należy skorzystać z narzędzi: FLC_KILL9x
(dla Windows 9x) lub FLC_KILLNT
(Windows NT v3.51, 4) które należy wgrać na czystą dyskietkę i
zabezpieczyć ją przed zapisem.
Uwaga: Koniecznie zapoznać sie z informacjami w załączonym pliku
"readme.txt".
- Uruchomić program z dyskietki na zarażonej
maszynie
- Zrestartować komputer.
- Zamknąć wszystkie okna Explorera, uruchomić
MS-DOS (Start|Programs|MS-DOS Prompt).
- Umieścić w napędzie 2 dyskietkę Emergency
Rescue Disks(ERD), oraz wpisać polecenie:
A:\Pcscan /v /c /A /NOBKUP.
Postępować zgodnie z przekazywanymi instrukcjami.
Uwaga: wszystkie zarażone pliki, także z rozszerzeniami .OCX, .SCR zostaną
przeskanowane i oczyszczone.
- Przeskanować system korzystając z
oprogramowania Trend Micro i wykasować wszystkie
pliki zidentyfikowane jako PE_FUNLOVE.4099. Należy korzystać z najnowszych
wzorców wirusów.
Opracowano na
podstawie materiałów Trend Micro
© 2001 Trend Micro Incorporated. All Rights Reserved
| |
|
