|
ACERCA DEL VIRUS FUNLOVE - Junio 2001 |
|
|
|
"Por y para Aurora y Mirushka." Aspectos Generales W32/Funlove es un
virus que se replica bajo Sistemas Windows 9x y Windows NT. Infecta
aplicaciones con extensiones EXE (programas ejecutables), SCR (protectores
de pantalla) u OCX (Controles Vbasic). Lo que destaca en este virus es la
nueva estrategia que posee para atacar al archivo de seguridad de los
sistemas NT y la manera en que corre como un servicio dentro de estos
sistemas.
El FunLove es un virus con una longitud de infección de 4009 bytes; tiene una distribución geográfica grande y un grado de contaminación medio, igual que la dificultad de eliminarlo. Este virus se dispara al ejecutar algún archivo infectado y genera el ejecutable FLCSS.EXE estableciéndolo como un proceso regular de C: \Windows \System. Sus capacidades son modificar los archivos Win32 con las extensiones anteriormente mencionadas; causar inestabilidad en el sistema y a veces colapsarlo y contaminar o destruir las aplicaciones del Windows. El FunLove para desplazarse usa los sistemas NT aunque también puede desplegarse en discos locales. El FunLove es el segundo virus que se ejecuta como un servicio en Windows NT. W32 RemoteExplore es muy similar en sus funciones al FunLove, pero este último puede trabajar en Windows 95/98 & NT. Cuando el virus ejecuta un servicio puede desplegarse en el disco local sin cargarse en la máquina. Este tipo de virus puede infectar archivos que normalmente no son accesibles antes de la carga. FunLove es capaz de dar acceso completo a todo usuario de cada archivo sin protección, incluyendo aquellos a los que normalmente sólo tiene acceso el administrador, siendo así casi podríamos considerarlo como un troyano. Fecha de Descubrimiento 9 de noviembre de 1999. Características del Virus Este virus es un parásito Win32 infector de archivos ejecutables que trabaja tanto en Win9x como en WinNT 4.0. Este infecta archivos del tipo "EXE", "SCR" y "OCX". El virus también sobre escribe los primeros 8 bytes del código al inicio del programa con un salto al código del virus. Cuando el virus se ejecuta por primera vez, este copia un archivo llamado fclss.exe en la carpeta %SYSTEM%, si este no existiera entonces este ejecutable se arranca y deja residente una porción del virus. Bajo Windows9x el largo del archivo se incrementa en 4099 bytes, pero bajo Windows NT el incremento es de un mínimo de 4099 bytes y generalmente es más, en pruebas se han observado hasta 7000 bytes. Luego el virus infecta directamente todos los archivos EXE, SCR, y OCX en las carpetas "Program Files", WINDOWS/WINNT (según corresponda), incluyendo cualquier sub-carpeta. Como el shell de Windows "Explorer.exe" se encuentra allí, el virus es re-ejecutado cada vez que el sistema es re-iniciado. Si el usuario tiene derechos administrativos en el sistema, el virus hace uso de una rutina "extraída" del virus W32/Bolzano para parchar los archivos de NT "NTOSKRNL.EXE" y "NTLDR". Esto habilita al virus (y a cualquier usuario) para tener acceso completo al sistema después de la siguiente vez que el sistema es iniciado. Periódicamente el virus revisa cualquier unidad de red compartida con acceso de escritura, e infecta cualquier archivo EXE, SCR u OCX. El virus no está encriptado y tampoco es polimorfo. Los archivos infectados tienen una copia del archivo flcss.exe agregado al final de la última sección PE (Programa Ejecutable) y el largo del archivo se incrementa en 4099 bytes. Cuando se ejecuta bajo DOS, el archivo flcss.exe despliega el mensaje ~Fun Loving Criminal~ y entonces intenta iniciar la máquina para cargar Windows. Indicios de Infección
Método de Infección La ejecución de archivos contaminados infectará directamente el sistema local y las unidades de red compartidas. W32/Funlove es un virus que infecta archivos *.EXE, *.SCR y *.OCX en sistemas con Windows 95/98/Me y Windows NT. Si se ejecuta un archivo infectado el virus W32/Funlove crea un archivo FLCSS.EXE en la carpeta WinNT\System32 (Windows NT), Windows\System (Windows 95/98/Me) y lo ejecuta para que permanezca residente en memoria (en Windows NT el archivo FLCSS.EXE se instala como un servicio). Una vez residente en memoria el virus infecta todos los archivos *.EXE, *.SCR y *.OCX en la carpeta \Windows, \WinNT, \Program Files y en todas las unidades a las que tiene acceso incluyendo las de Red (C:, D:, E:, ....Z:), asimismo infecta en todos los recursos compartidos a los cuales tiene acceso. El virus W32/FunLove es muy especial y bastante rápido en su propagación, una sola PC sin antivirus puede resultar en una infección masiva en toda la red. Es importante conocer como infecta el virus W32/FunLove a fin de que se tomen los procedimientos adecuados para su eliminación. Supongamos que una PC cualquiera (PC-USER) tiene acceso a las siguientes unidades de disco y/o recursos compartidos:
Si se ejecuta un archivo infectado en PC-USER, el virus W32/FunLove infectará todos los archivos *.EXE, *.SCR y *.OCX en PC-USER (unidad C y D), PC-DOCUMENTOS (unidad E:), PC-REPORTES (la carpeta C:\Control) y el SERVIDOR (unidad G:). En nuestro ejemplo, el ejecutar 1 archivo infectado en un PC-USER resultará en la infección de miles de archivos en 4 diferentes PCs incluyendo el servidor. La infección de archivos hacia PC-DOCUMENTOS, PC-REPORTES y el SERVIDOR es una infección remota, eso significa que así estas PCs tengan cualquier antivirus instalado la infección SI se produce en el archivo remoto, la vacuna en tiempo real del antivirus en estas 3 Pcs notará la infección y procederá a eliminar el virus, por cada archivo que se infecta y cura debería aparecer un mensaje de la vacuna. Pasos para detectar y eliminar el virus W32/FunLove IMPORTANTE: No comparta el disco duro de ninguna PC incluyendo el servidor hasta que se encuentre 100% seguro que el virus W32/FunLove ha sido totalmente erradicado de su red. Pasos a seguir: Para que W32/Funlove NO se pueda colocar residente en memoria cree la carpeta FLCSS.EXE en \WinNT\System32 (si es Windows NT) o \Windows\System (si es Windows 95/98/Me). Ej. MD C:\WINNT\SYSTEM32\FLCSS.EXE [enter] 1- PARA EL SERVIDOR - Desactivar cualquier recurso compartido en el servidor, ninguna estación debe tener acceso al servidor de lo contrario el servidor será reinfectado por la estación en segundos. - Detectar y eliminar virus en el Servidor. - Instale algún Anti-Virus "decente" (ya sea Kaspersky Anti-Virus, Command Software Anti-Virus con F-Prot Professional o Nod32 por ejemplo) para Windows NT en el servidor y explore por virus todas las unidades locales del servidor. Después de este punto el servidor debería estar limpio. 2- PARA LAS ESTACIONES - Desactivar cualquier recurso compartido en la estación, ninguna otra PC debe tener acceso a mi estación de lo contrario podría generarse una reinfección. - Detectar y eliminar virus en las estaciones, dado que W32/FunLove es un virus de Windows debe ser eliminado desde el modo MS-DOS de lo contrario los archivos en uso (cargados en memoria) no pueden ser alterados (curados). Este no es un problema de los ANTIVIRUS sino una protección del sistema operativo de no poder modificar un archivo en uso. - Una vez detectado y eliminado el virus en DOS proceda a instalar un buen Anti-Virus en la estación. Nuevamente, no comparta el disco duro de esta PC a menos que este 100% seguro que la otra PC ya está limpia y con antivirus instalado. Si necesita obligatoriamente compartir recursos entre PCs no comparta toda la unidad sino solamente el directorio o archivo que se necesita. El virus FunLove tiene, por lo menos, cinco versiones distintas. En primer lugar, gestiona la generación de un archivo parásito en Win32 que se encarga de infectar los archivos con extensión .EXE . SCR y .OCX en Win9x. Además, sobreescribe los primeros 8 bytes de código al iniciar cualquier programa con lo que posteriores ejecuciones del mismo significan un salto hacia el código mismo del virus. Es importante consignar que cuando el virus es activado por primera vez, "suelta" una archivo llamado FLCSS.EXE en el directorio SYSTEM. Ese archivo es posteriormente ejecutado por el sistema y se convierte en la porción residente del virus FunLove. Luego, se encarga de infectar todos los archivos con las extensiones que ya mencionamos en el primer párrafo y que se encuentran agrupadas bajo la carpeta ARCHIVOS DE PROGRAMA, incluyendo todas las subcarpetas. Cada vez que el sistema es reiniciado, el virus se reejecuta, aunque no se trata de uno encriptado o polimórfico. Cuando es ejecutado bajo DOS, el archivo FLCSS.EXE despliega el mensaje "~Fun Loving Criminal~" y trata de resetear la máquina con la intención de cargar Windows. Lista de otros nombres para el mismo virus FLCSS.EXE, Funlove, PE_FUNLOVE.4099 (Trend), W32.FunLove.4099 (NAV), W32.Funlove.int (NAV), W32/Flcss (Sophos), W32/Funlove.4099.dr (VirusScan), W32/FunLove.gen (VirusScan), W95/FunLove.4099 (F-Prot), Win32.FLC, Win32.FunLove.4070 (AVP). Existen varias utilerías que ayudan a erradicar este virus, las cuales valdría la pena evaluar. Las direcciones son: http://videosoft.tripod.com/funlove.htm
D. Arnoldo Moreno
Pérez |
