W32/FunLove.4099病毒资料

Emil译

W32/FunLove.4099是一个新病毒，AVERT将它定为中等危险病毒。 W32/FunLove.4099是一个感染运行于Win9x和WinNT 4.0的Win32 PE文件如.EXE、.SCR和.OCX文件的文件型病毒。当这个病毒第一次运 行时，它在SYSTEM目录下建立一个名为FLCSS.EXE，然后感染所有的 .EXE、.SCR和.OCX文件，而Explorer.exe也会在系统重启动后被感染。 这个病毒还会像W32/Bolzano那样修改NTOSKRNL.EXE和NTLDR等NT文件， 这样它就能在下次系统重启动后拥有系统的全部通道。然后它就会周 期性地检查网络上的写通道，并感染共享网络驱动器上的.EXE、.SCR 和.OCX文件。但这个病毒没有加密和变种。 该病毒感染文件后便会在被感染文件最后的PE部分植入FLCSS.EXE， 所以被感染文件的长度便会增加4099字节。当在DOS下运行FLCSS.EXE 时便会显示~Fun Loving Criminal~，并企图重启机器以运行Windows。